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AB - DE1 9822795 The method involves forming a first value (gt) from a 
first random number (t) by using a producing element (g) of a finite 
group of elements, and a first message (Ml), comprising at least 
the first value, is send by the first computer unit to a second 
computer unit (N). A session key (K) is formed in the second 
computer unit by using a first hash function (hi), whereby a first 
input quantity of the first hash function comprises at least one first 
term which is formed through an exponential function of the first 
value with a secret network key (s). 

- The session being (IF) is also formed in a first computer unit (U), 
whereby a second input quantity of the first hash function 
comprises at least one second term which is formed through an 
exponential function of a public network key (gns) with the first 
random number. A fourth input size is formed in the first computer 
unit by using a second hash function (h2) or the first hash function, 
whereby a third input size for the first hash function or the second 
hash function comprises one or further sizes for producing the 
fourth input size, from which the session key can be uniquely 
derived. A first signature function (SigU) is used in the first 
computer unit to form a signature term from, at least the fourth input 
size. A third message (M3) is send from the first computer unit to 
the second computer unit, which comprises at least the signature 
term of the first computer unit, whereby the signature term is 
verified in the second computer unit. 

- USE - In security module, especially for mobile communications 
system, PC communication, etc. 

- ADVANTAGE - Does not require common secret key. 
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© Verfahren und Anordnung zum rechnergestutrten Austausch kryptographischer Schlussel zwischen einer 

ersten Computereinheit und einer zweiten Computereinheit 
® Die Erfindung betrifft ein Verfahren, mit dem ein Sit- 

zungsschlussel zwischen einer ersten Computereinheit 

und einer zweiten Computereinheit vereinbart werden 

kann, ohne daft ein unbefugter Dritter nutzliche Informa- 

tionen bezuglich der Schlussel oder der Identitat der er- 
sten Computereinheit erhalten kann. Dies wird erreicht 

durch die Einbettung des Prinzips des El-Gamal Schlus- 

selaustauschs in das Verfahren mit einer zusatzlichen Bil- 

dung einer digitalen Unterschrift uber einen Hash-Wert, 

dessen EingangsgroSe mindestens GroGen, aus denen 

auf den Sitzungssc Mussel eindeutig ruckgeschlossen 

werden kann, aufweist 
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Beschreibung 

Verfahren und Anordnung zum rechnergestiitzten Aus- 
tausch kryptographischer Schlussel zwischen einer ersten 
Computereinheit und einer zweiten Computereinheit. 

Die Erfindung betrifft den rechnergestutzten Austausch 
kryptographischer Schliissei zwischen einer erslen Compu- 
tereinheit und einer zweiten Computereinheit. 

Informationstechnische Systeme unterliegen verschiede- 
ncn Bcdrohungcn. So kann z. B. iibcrtragcnc Information 
von einem unbefugten Dritten abgehort und verandert wer- 
den. Eine weitere Bedrohung bei der Kommunikadon 
zweier Kommunikationspartner liegt in der Vorspiegelung 
einer falschen Identitat eines Kommunikationspartners. 

Diesen und weiteren Bedrohungen wird durch verschie- 
dene Sicherheitsmechanismen, die das informationstechni- 
sche System vor den Bedrohungen schiitzen sollen, begeg- 
net Ein zur Sicherung verwendeter Sicherheitsmechanis- 
nius ist die Verschlusselung der ubertragenen DaLen. DamiL 
die Daten in einer Kommunikauonsbeziehung zwischen 
zwei Kommunikationspartnern verschliisselt werden kon- 
nen, miisscn vor der Ubcrtragung der cigcntlichcn Daten zu- 
erst Schritte durchgefuhrt werden, die die Verschlusselung 
vorbereiten. Die Schritte konnen z. B. darin bestehen, daB 
sich die beiden Kommunikationspartner auf einen Ver- 
schliisselungsalgorithmus einigen und daB ggf. die gemein- 
samen geheimen Schliissei vereinbart werden. 

Besondere Bedeutung gewinnt der Sicherheitsmechanis- 
mus der Verschlusselung bei Mobilfiinksystemen, da die 
ubertragenen Daten in diesen Systemen von jedem Dritten 
ohne besonderen zusatzlichen Aufwand abgehort werden 
konnen. 

Dies fuhrt zu der Anforderung, eine Auswahl bekannter 
Sichcrhcitsmcchanismcn so zu treffen und dicsc Sichcr- 
heitsmechanismen geeignet zu kombinieren, sowie Kom- 
munikationsprotokolle zu spezifizieren, daB durch sie die 
Sicherheit von informationstechnischen Systemen gewahr- 
leistet wird, 

Es sind verschiedene asymmetrische Verfahren zum rech- 
nergestutzen Austausch kryptographischer Schlussel be- 
kannt. 

Asymmetrische Verfahren, die geeignet sind fur Mobil- 
funksysterne, sind in [1], [2], [3] und [4] beschrieben. 
Das in [1] beschriebene Verfahren bezieht sich ausdriick- 
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Verfahren in seiner allgemeinen Verwendbarkeit ein. 

Das in [3] beschriebene Verfahren hat ein grundlegendes 
Sicherneitsziel nicht reaiisiert Die explizite Authentifika- 
tion des Benutzers durch das Netz wird nicht erreicht 

Das in [4] beschriebene Verfahren basiert auf der An- 
nahme der Existenz von gemeinsamen geheimen Schlusseln 
sowohl zwischen Benulzer und besuchLem Nelz als auch 
zwischen Benutzer und Heimatnetz vor Beginn eines Proto- 
kollaufs. Diese Annahme ist fur viele Einsatzfalle zu ein- 
schrankcncL 

Femer ist ein Verfahren zum sicheren Datenaustausch 
zwischen vielen Teilnehmern unter Mitwirkung einer Zerti- 
fizierungsinstanz aus [5] bekannt Das bei diesem Verfahren 
verwendete Protokoll weist eine Zufallszahl, eine Idendtats- 
angabe sowie einen offentiichen Schliissei und einen Sit- 
zungsschlussei auf. Grundlegende Sicherheitszieie werden 
jedoch bei diesem Verfahren nicht reaiisiert. 

Weiterhin ist ein Verfahren fur eine PC-PC-Kommunika- 
lion unter Mitwirkung eines Trust-Centers aus f 61 bekannL 
Aus [7] ist ein Verfahren bekannt, bei dem unter Verwen- 
dung sowohl eines offentiichen als auch eines geheimen 
Schlussels sowie unter Vcrwcndung cincr Zufallszahl cin 
Sitzungsschlussei erzeugt wird. Dieser wird mit einem of- 
fentiichen Schlussel verkniipft 

Weiterhin ist in [8] ein Verfahren beschrieben, bei dem 
eine Benutzereinheit sich gegeniiber einer Netzeinheit iden- 
tifiziert. AnschlieBend findet unter Anwendung einer H ash- 
Fun Icti on zwischen der Benutzereinheit und der Netzeinheit 
ein AuthentifizierungsprozeB statt. 

Weitere sichere Kommunikationsprotokolle, die aber we- 
sentliche grundlegende Sicherheitszieie nicht realisieren, 
sind aus [9] bekannt. 

Aus [10] ist es bekannt, daB in einer ersten Computerein- 
heit aus cincr ersten Zufallszahl mit Hilfc cincs crzcugcndcn 
Elements einer endiichen Gruppe ein erster Wert gebildet 
wird, der zu einer zu einer zweiten Computereinheit ubertra- 
gen wird. In der zweiten Computereinheit wird ein Sitzungs- 
schlussei gebildet durch Hash-Wert-Bildung des ersten 
Werts, der mit einem geheimen Netzschliissel exponiert 
wird. Tn der ersten Computereinheit wird ebenfalls der Sit- 
zungsschlussei gebildet, dort jedoch durch Hash-Wert-Bil- 
dung eines offentiichen Netzschltissels, der mit der ersten 
Zufallszahl exponiert wird. Ferner wird dort ein Hash-Wen 
uber den Sitzungsschlussei gebildet und der Hash-Wert wird 
lich auf lokale Netzwerke und stellt hohere Rechenlei- 45 digital signiert Der sich ergebende Signatuterm wird zu der 
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stungsanfordcrungen an cine Computereinheit cincs Kom 
munikationspartners wahrend des Schliisselaustauschs. Au- 
Berdem wird in dem Verfahren mehr Ubertragungskapazitat 
benotigt als bei dem erfindungsgemaBen Verfahren, da die 
Lange der Nachrichten groBer ist als bei der Erfindung. 

Das in 12J beschriebene Verfahren hat einige grundle- 
gende Sicherheitszieie nicht reaiisiert Die explizite Authen- 
tifikation des Netzes durch den Benutzer wird nicht erreicht 
AuBerdem wird ein vom Benutzer an das Netz iibertragener 



zweiten Computereinheit iibcrtragen und dort vcrifizicrt 

Das in [11] beschriebene Verfahren erreicht die wesentli- 
chen Sicherheitszieie, jedoch mit einem hoheren Aufwand 
an Rechenleistung und Ubertragungskapazitat 
50 Asymmetrische Verfahren beruhen im wesentlichen auf 
zwei Problemen der Komplexitatstheorie, dem Problem zu- 
samrnengesetzte Zahlen effizient zu faktorisieren, und dem 
. diskreten Logarithmusproblem (DLP). Das DLP besteht 
darin, daB in geeigneten Rechenstrukturen zwar Exponen- 



Schlussel vom Nelz nicht an den Benutzer besliiligL Auch 55 tiadonen efGzienl durchgerdhrt werden konnen, daB jedoch 

eine Zusicherung derFrische (Aktuahtat) des Schlussels fur fur die Umkehrung dieser Operation, das Logarithmieren, 

das Netz ist nicht vorgesehen. Ein weiterer Nachteil dieses keine effizienten Algorithmen bekannt sind. 

Verfahrens besteht in der Beschrankung auf das Rabin- Ver- Solche Rechenstrukturen sind z. B. unter den oben be- 

fahren bei der impliziten Authendfizierung des Schlussels zeichneten endiichen Gruppen zu verstehen. Diese sind z. B. 

durch den Benutzer. Dies schrankt das Verfahren in einer 60 die multiplikadve Gruppe eines endiichen Korpers (z. B. 

fl QV .ui™« a A..rt-_j-__ .. • Mukiplizieren Modulo p, wobei p eine groBe Prirnzahl ist), 



flexibleren Anwendbarkeit ein. AuBerdem ist kein Sicher- 
heitsmechanismus vorgesehen, der die Nichtabstreitbarkeit 
von ubertragenen Daten gewahrleistet Dies ist ein erhebli- 
cher Nachteil vor all em auch bei der Erstellung unanfecht- 
barer Gebiihrenabrechnuhgen fur ein Mobilfunksystem. 
Auch die Beschrankung des Verfahrens auf den National In- 
sutule of Standards in Technology Signature Standard 
(NIST DSS) als verwendete Signaturfunkuon schrankt das 



oder auch sogenannte "ellipdsche Kurven". Ellipdsche Kur- 
ven sind vor allem deshalb interessant, wetl sie bei gleichem 
Sicherheitsniveau wesentliche kurzere Sicherheitsparameter 
65 erlauben. Dies betrifft die Lange der offentiichen Schlussel, 
die Lange der Zerufikate, die Lange der bei der Sitzungs- 
schlussei vereinbarung auszutauschenden Nachrichten so- 
wie die Lange von digitalen Signaturen, die jeweils im wei- 



DE 198 22 

3 

teren beschrieben werden. Der Grund dafur ist, daB die fiir 
elliptische Kurven bekannten Logarithmierverfahren we- 
sentlich weniger effizient sind als die fur endliche Korper. 

Eine groBe Primzahl in diesem Zusammenhang bedeutet, 
daB die GroBe der Primzahl so gewahlt werden muB, daB die 5 
Logarithmierung so aufwendig ist, daB sie nictat in vertretba- 
rer Zeil durchgefuhrt werden kann. Vertrelbar bedeutet in 
diesem Zusammenhang einen Zeitraum entsprechend der 
Sicherheitspolitik von mehreren Jahren bis Jahrzehnten und 
langcr. 10 

Unter einer Hash-Funktion ist in diesem Zusammenhang 
eine Funktion zu verstehen, bei der es nicht mdglich ist, zu 
einem gegebenen Funktionswert einen passenden Eingangs- 
wert zu berechnen. Ferner wird einer beliebig langen Ein- 
gangszeichenfolge eine Ausgangszeichenfolge fester Lange 15 
zugeordnet. Des we i teren konnen fiir die Hash-Funktion zu- 
satzliche Eigenschaften gefordert werden. Eine solche zu- 
satzliche Eigenschaft ist Kollisionsfreiheit, d. h. es darf 
nicht inoglieh sein, zwei verschiedene Eingangszeiehenfol- 
gen zu finden, die dieselbe Ausgangszeichenfolge ergeben. 20 

Der Erfindung liegt das Problem zugrunde, ein verein- 
fachtcs Vcrfahrcn zum rcchncrgcstiitztcn Austausch krypto- 
graphischer Schliissel anzugeben, das nicht die Existenz ge- 
meinsamer geheimer Schliissel voraussetzL 

Dieses Problem wird durch das Verfahren gemaB Patent- 15 
anspruch 1 sowie durch die Anordnung gemaB Patentan- 
spruch 29 geidst. 

Bei dem Verfahren wird aus einer ersten Zufallszahl mit 
Hilfe eines erzeugenden Elements einer endlichen Gruppe 
in der ersten Computereinheit ein erster Wert gebildet. Eine 30 
erste Nachricht wird von der ersten Computereinheit an die 
zweite Computereinheit ubertragen, wobei die ersten Nach- 
richt mindestens den ersten Wert aufweist. In der zweiten 
Computereinheit wird cin Sitzungs schliissel mit Hilfc einer 
ersten Hash-Funktion gebildet wird, wobei eine erste Ein- 35 
gangsgroBe der ersten Hash-Funkdon mindestens einen er- 
sten Term aufweist, der gebildet wird durch eine Exponen- 
tiation des ersten Werts mit einem geheimen Netzschliissel. 
In der ersten Computereinheit wird der Sitzungsschliissel 
gebildet mit Hilfe der ersten Hash-Funktion, wobei eine 40 
zweite EingangsgroBe der ersten Hash-Funktion mindestens 
einen zweiten Term aufweist, der gebildet wird durch eine 
Exponentiation eines Offendichen Netzschlussels mit der er- 
sten ZufallszahL In der ersten Computereinheit wird mit 
Hilfe einer zweiten Hash-Funktion oder der ersten Hash- 45 
Funktion cine vicrtc EingangsgroBe gebildet, wobei cine 
dritte EingangsgroBe fur die erste Hash-Funktion oder fur 
die zweite Hash-Funktion zur Bildung der vierten Eingangs- 
groBe eine oder weitere GrdBen aufweist, aus denen auf den 
Sitzungsschliissel eindeutig riickgeschlossen werden kann. 50 
In der ersten Computereinheit wird ein Signaturterm aus 
mindestens der vierten EingangsgroBe gebildet wird unter 
Anwendung einer ersten Signaturfunktion. Eine dritte Nach- 
richt wird von der ersten Computereinheit an die zweite 
Computereinheit ubertragen, wobei die dritte Nachricht 55 
mindestens den Signaturterm der ersten Computereinheit 
aufweist. In der zweiten Computereinheit wird der Signatur- 
term verifiziert. 

Bei der Anordnung sind die erste Computereinheit und 
die zweite Computereinheit derart eingerichtet sind, daB fol- 60 
gende Verfahrensschritte durchfuhrbar sind: 

- aus einer ersten Zufallszahl wird mit Hilfe eines er- 
zeugenden Elements einer endlichen Gruppe in der er- 
sten Computereinheit ein erster Wert gebildet, 65 

- eine erste Nachricht wird von der ersten Computer- 
einheit an die zweite Computereinheit ubertragen, wo- 
bei die erste Nachricht mindestens den ersten Wert auf- 
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weist, 

- in der zweiten Computereinheit wird ein Sitzungs- 
schliissel mit Hilfe einer ersten Hash-Funktion gebil- 
det, wobei eine erste EingangsgroBe der ersten Hash- 
Funktion mindestens einen ersten Term aufweist, der 
gebildet wird durch eine Exponentiation des ersten 
Werts mit einem geheimen Netzschliissel, 

- in der ersten Computereinheit wird der Sitzungs- 
schliissel gebildet mit Hilfe der ersten Hash- Funktion, 
wobei cine zweite EingangsgroBe der ersten Hash- 
Funktion mindestens einen zweiten Term aufweist, der 
gebildet wird durch eine Exponentiation eines offentli- 
chen Netzschlussels mit der ersten Zufallszahl, 

- in der ersten Computereinheit wird mit Hilfe einer 
zweiten Hash-Funktion oder der ersten Hash-Funktion 
eine vierte EingangsgroBe gebildet wird, wobei eine 
dritte EingangsgroBe fur die erste Hash-Funktion oder 
fur die zweite Hash-Funktion zur Bildung der vierten 
EingangsgroBe eine oder weitere GroBen aufweist, aus 
denen auf den Sitzungsschliissel eindeutig riickge- 
schlossen werden kann. 

- in der ersten Computereinheit wird cin Signaturterm 
aus mindestens der vierten EingangsgroBe gebildet un- 
ter Anwendung einer ersten Signaturfunktion, 

- eine dritte Nachricht wird von der ersten Computer- 
einheit an die zweite Computereinheit ubertragen, wo- 
bei die dritte Nachricht mindestens den Signaturterm 
der ersten Computereinheit aufweist, und 

- in der zweiten Computereinheit wird der Signatur- 
term verifiziert. 

Die durch die Erfindung erreichten Vorteue liegen vor al- 
lem in einer erheb lichen Reduktion der Lange der ubertrage- 
ncn Nachrichtcn und in der Rcalisicrung wcitcrcr Sichcr- 
heitsziele. 

Die Erfindung ist auBerdem sehr leicht an unterschiedli- 
che Anforderungen anpafibar; da es sich nicht auf bestimmte 
Algorithmen fur Signaturbildung und Verschliisselung be- 
schrankt 

Vorteilhafte Weiterbildungen der Erfindung ergeben sich 
aus den abhangigen Anspriichen. 

In einer Weiterbildung ist es vorgesehen, einen langlebi- 
gen geheimen Netzschliissel und einen langlebigen offentli- 
chen Netzschliissel einzusetzen. 

Unter einem langlebigen Schliissel ist im weiteren ein 
Schliissel zu verstchen, der fur mchrcrc Protbkollaufc cingc- 
setzt wird. 

Durch die Erfindung und ihre Weiterbildungen werden 
folgende Sicherheitsziele realisiert 

- Gegenseitige explizite Authentifizierung von dem 
Benutzer und dem Netz, d. h. die gegenseitige Verify 
zierung der behaupteten Identitat, 

- Schlusselvereinbarung zwischen dem Benutzer und 
dem Netz mit gegenseitiger impliziter Authentifizie- 
rung, d. h., daB durch das Verfahren erreicht wird, daB 
nach AbschluB der Prozedur ein gemeinsamer gehei- 
mer Sitzungsschliissel zur Verfiigung stent, von dem 
jede Partei weiB, daB nur das authentische Gegenuber 
sich ebenfalls im Besitz des geheimen Sitzungsschliis- 
sels befinden kann, 

- Zusicherung der Frische (Aktualitat) des Sitzungs- 
schliissels fiir den Benutzer, 

- gegenseitige Bestatigung des Sitzungsschliissels von 
dem Benutzer und dem Netz, d. h. die Bestatigung, daB 
das Gegenuber tatsachlich im Besitz des vereinbarten 
geheimen Sitzungsschliissels ist. 
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Auf diese Sicherheitsziele beziehen sich auch die folgen- 
den vorteilhaften Weiterbiidungen des Verfahrens. 

In einer Weiterbildung wird zusatzlich in der ersten Com- 
putereinheit ein vertrauenswurdiger offentlicher Benutzer- 
schliissel der ersten Computereinheit z. B . in Form eines Be- 
nutzerzertifikats verfugbar gemacht und in der zweiten 
Computereinheit wird ein vertrauenswurdiger ofTentlicher 
Netzschiiissel der zweiten Computereinheit z. B. in Form ei- 
nes Netzzertifikats verfugbar gemacht Der offentliche 
Netzschiiissel muB bci dicscr Weiterbildung nicht in der er- 
sten* Computereinheit verfugbar sein. 

In einer weiteren Ausgestaltung ist es nicht notig, daB der 
offentliche Benutzerschliissel in der zweiten Computerein- 
heit verfugbar ist. 

GemaB einer weiteren Ausgestaltung ist in der ersten 
Computereinheit kein vertrauenswurdiger offentlicher Netz- 
schiiissel der zweiten Computereinheit erforderlich. In der 
ersten Computereinheit ist ein vertrauenswurdiger offentli- 
cher ZerUfizierungsschliissel der Zertifizierungscoinputer- 
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Fur das Verfahren wird vorausgesetzt, daB in der ersten 
Computereinheit U ein vertrauenswurdiger offentlicher 
Netzschiiissel g* der zweiten Computereinheit N verfugbar 
ist und daB in der zweiten Computereinheit N ein vertrau- 
enswurdiger offentlicher Benutzerschliissel KTJ der ersten 
Computereinheit U verfugbar ist, wobei g ein erzeugendes 
Element einer endlichen Gruppe ist. 

In der ersten Computereinheit U wird eine erste Zufaiis- 
zahl t generiert (Schritt 101). Aus der ersten Zufallszahl t 
wird mit Hilfc des erzeugenden Elements g einer endlichen 
Gruppe in der ersten Computereinheit U ein erster .Wert g* 
gebildet (Schritt 102) 

Nach der Berechniing des ersten Werts g c wird eine erste 
Nachricht Ml codiert, die mindestens den ersten Wert g* 
aufweisL Die erste Nachricht Ml wird von der ersten Com- 
putereinheit IJ an die zweite Computereinheit N ubertragen 
(Schritt 103). 

In der zweiten Computereinheit N wird die erste Nach- 
richt Ml decodiert. Die erste Nachricht Ml kann auch uber 



einheit verfugbar. Dies bedeutet, daB die erste Computerein- 20 einen unsicheren Kanal, also auch iiber eine Luftschnitt- 



heit sich den vertrauenswiirdigen offentlichen Netzschiiissel 
in Form cincs Netzzertifikats von einer Zcrtifizicrungscom- 
putereinheit tr besorgen" muB. Ebenso braucht die zweite 
Computereinheit den vertxauenswurdigen offentlichen Be- 
nutzerschiissel in Form eines Benutzerzertifikats von der 
Zemfizierungscomputereinheit. 

Durch die Weiterbiidungen der Erfindung gemaB den Pa- 
ten tanspriichen 13, 15 und 20 wird das Sicherheitsziel der 
Benutzeranonyrnitat realisiert, d. h. die Vertraulichkeit der 
Identitat des Benutzers gegeniiber Dritten. 

Die Weiterbildung des erfindungsgemaBen Verfahrens ge- 
maB Patentanspruch 15 ennoglicht die Verwendung von 
temporaren Benutzeridentitaten. 

Durch die Weiterbildung des Verfahrens gemaB Patcntan- 
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stelle, unverschlusselt ubertragen werden, da die Logarith- 
micrung des ersten Wcrtcs g c nicht in vcrtrctbarcr Zcit 
durchgefuhrt werden kann. 

In der zweiten Computereinheit N wird eine zweite Zu- 
fallszahl r generiert (Schritt 104). Durch diesen zusatzlichen 
Verfahrensschritt wird ein zusatzliches Sicherheitsziel reali- 
siert: die Zusicherung der Frische (Aktualitat) eines im foi- 
genden beschriebenen Sitzungsschliissels K fur die zweite 
Computereinheit N. 

In der zweiten Computereinheit N wird mit Hilfe einer er- 
sten Hash-Funktion hi ein SitzungsschlUssel K gebildet 
(Schritt 105). Als eine erste EingangsgroBe der ersten Hash- 
Funktion hi wird mindestens ein erster Term verwendet. 
Der erste Term wird gebildet, indem der erste Wert g c potcn- 



spruch 16 wird vor allem eine zusatzliche Authentifizierung 35 ziert wird mit einem geheimen Netzschiiissel s. 



der zweiten Computereinheit gegeniiber der ersten Compu- 
tereinheit gewahrleistet. 

Durch die Weiterbildung gemaB Patentanspruch 18 wird 
das Sicherheitsziel der Zusicherung der frische (Aktualitat) 
des Sitzungsschliissels fur das Netz realisiert 

Durch die Weiterbildung gemaB Patentanspruch 21 wird 
zusatzlich das Sicherheitsziel der Nichtabstreitbarkeit von 
Daten realisiert, die vora Benurzer an das Netz gesendet 
wurden. 



Wenn die zweite Zufallszahl r verwendet wird, so weist 
die erste EingangsgroBe der ersten Hash-Funktion hi zu- 
satzlich mindestens die zweite Zufallszahl r auf. 

Nun wird in der zweiten Computereinheit N eine Antwort 
40 A gebildet (Schritt 106). Zur Bildung der Antwort A sind 
verschiedene Varianten vorgesehen. So ist es z. B. moglich, 
daB mit dem SitzungsschlUssel K unter Verwendung einer 
VerschlUsselungsfunktion Enc eine Konstante const, sowie 
eventuell weitere GroBen, verschliisselt wird. Die Konstante 



Die Zeichnungen stellen bevorzugte Ausfuhrungsbei- 45 const ist sowohi der ersten Computereinheit U-als auch der 



spiclc der Erfindung dar, die im folgcndcn nahcr beschric- 
ben werden. 
Es zeigen 

Fig. 1 ein Ablaufdiagramm, das ein erstes Ausfuhrungs- 
beispiel des Verfahrens mit einigen Weiterbiidungen dar- 
stellt; 

Fig. 2 ein Ablaufdiagramm, das ein zweites Ausfuhrungs- 
beispiel des Verfahrens mit einigen Weiterbiidungen dar- 
stellt; 

Fig. 3 ein Ablaufdiagramm, das ein drittes Ausfiihrungs- 
beispiel des Verfahrens mit einigen Weiterbiidungen dar- 
stellt 

Erstes Ausfuhrungsbeispiel 

In Fig. 1 ist durch eine Skizze der Ablauf des Verfahrens 
dargestellt. Das Verfahren betrifft den Austausch kryptogra- 
phischer Schiussel zwischen einer ersten Computereinheit U 
und einer zweiten Computereinheit N, wobei unter der er- 
sten Computereinheit U eine Computereinheit eines Benut- 
zers eines Mobilfunknetzes zu verstehen ist und unter einer 
zweiten Computereinheit N eine Computereinheit des Nelz- 
betreibers eines Mobilfunksystems zu verstehen ist. 
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zweiten Computereinheit N bckannt. Auch die Vcrschliisscl- 
ungsfunktion Enc ist sowohi der zweiten Computereinheit N 
als auch der ersten Computereinheit U als die in dem Ver- 
fahren zu verwendende Verschiusselungsfunktion bekannt 

Eine weitere Moglichkeit, die Antwort A zu bilden 
(Schritt 106) liegt darin, daB der SitzungsschlUssel K, sowie 
eventuell vorgebbare weitere GroBen, z. B. eine Tdentitats- 
angabe idw der zweiten Computereinheit N und/oder die 
zweite Zufallszahl als EingangsgroBe fur eine zweite Hash- 
Funktion h2 verwendet wird und der "gehashte" Wert des 
Sitzungsschliissels K, sowie eventuell der weiteren GroBen, 
als Antwort A verwendet wird. 

Eine Aneinanderreihung der zweiten Zufallszahl r, der 
Antwort A, sowie ein optionaies erstes Datenfeld datl bil- 
den eine zweite Nachricht -M2. Das optionale erste Daten- 
feld datl ist nur in der zweiten Nachrichten M2 enthalten, 
wenn dies in dem Verfahren vorgesehen ist. 

Die zweite Nachricht M2 wird in der zweiten Computer- 
einheit N codiert und zu der ersten Computereinheit U iiber- 
tragen (Schritt 107). 

In der ersten Computereinheit U wird die zweite Nach- 
richt M2 decodiert, so daB die erste Computereinheit U die 
zweite Zufallszahl r, die Antwort A sowie eventuell das op- 
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lionale erste DateafeLd datl zur Verfugung haL Die Lange 
des optionaien ersten DatenfeLdes datl kann beliebig gro8 
sein, ih.es ist auch mogkch, daB das optionale erste Daten- 
feld datl nicht vorhanden ist. 

In der ersten Computereinheit U wird nun ebenfalls der 5 
SitzungsschlOssel K gebildet (Schritt 108), mit Hilfe der er- 
slen Hash-Funktion hi, die sowohl der zweiten Computer- 
einheit N ais auch der ersten Computereinheit U bekannt ist. 
Eine zweite EingangsgroBe der ersten Ilash-Funktion hi zur 
Bildung dcs Sitzungsschliisscls K in der ersten Computer- 10 
einheit U weist mindestens einen zweiten Term auf. Der 
zweite Term wird gebildet aus einer Exponentation eines 6f- 
fentlichen Netzschliissels g* mit der ersten Zufallszahl t 
Wenn die Verwendung der zweiten Zufallszahl r in dem Ver- 
fahren zur Berechnung des Sitzungsschliissels K vorgesehen 15 
wird, so weist die zweite EingangsgroBe der ersten Hash- 
Funktion hi zur Bildung des Sitzungsschliissels K in der er- 
sten Computereinheit U zusatzlich die zweite Zufallszahl r 
auf. 

Durch die Verwendung der ersten Zufallszahl t und der 20 
zweiten Zufallszahl r bei der Generierung des Sitzungs- 
schliissels K wird die Aktualitat dcs Sitzungsschliissels K 
gewahrleistet, da jeweils die erste Zufallszahl t ais auch die 
zweite Zufallszahl r nur fur jeweils einen SitzungsschlOssel 
K verwendet werden. Sornit wird eine Wiedereinspielung 25 
eines alteren Schlixssels ais Sitzungsschliissel K verhindert. 

Nachdem in der ersten Computereinheit U der Sitzungs- 
schliissel K gebildet wurde, wird anhand der ernpfangenen 
Antwort A uberprOft, ob der in der ersten Computereinheit 
U gebildete Sitzungsschliissel K mit dem SitzungsschlOssel 30 
K, der in der zweiten Computereinheit N gebildet wurde, 
uberemstimmt (Schritt 109). Abhangig von den im vorigen 
beschriebenen Varianten zur Bildung der Antwort A sind 
vcrschicdcnc Mogiichkcitcn vorgesehen, den Sitzungs- 
schlOssel K anhand der Antwort A zu uberpriifen. 35 

Eine Moglichkeit besteht darin, daB, wenn die Antwort A 
in der zweiten Computereinheit N durch Verschltisselung 
der Konstante const, sowie eventuell weitere GroBen, mit 
dem SitzungsschlOssel K unter Verwendung der Verschlus- 
selungsfunktion Enc gebildet wurde, die Antwort A ent- 40 
schlusselt wird, und sornit die erste Computereinheit U eine 
entschliisselte Konstante const', sowie eventuell vorgebbare 
weitere GroBen, erhalt, die mit der bekannten Konstante 
const, sowie eventuell den weiteren GroBen, verglichen 
wird. 45 

Die Ubcrprufung dcs Sitzungsschlussels K anhand der 
Antwort A kann auch durchgefuhrt werden, indem die der 
ersten Computereinheit U bekannte Konstante const, sowie 
eventuell vorgebbare weitere GroBen, mit dem in der ersten 
Computereinheit U gebildeten SitzungsschlOssel K unter 50 
Verwendung der Verschlusselungsfunktion Enc verschlOs- 
selt wird und das Ergebnis mit der Antwort. A auf Uberein- 
stimmung gepruft wird. Diese Vorgehensweise wird auch 
verwendet, wenn die Antwort A in der zweiten Computer- 
einheit N gebildet wird, indem auf den SitzungsschlOssel K, 55 
sowie eventuell den weiteren GroBen, die zweite Hash- 
Funktion h2 angewendet wird. In diesem Fall wird in der er- 
sten Computereinheit U der in der ersten Computereinheit U 
gebildete SitzungsschlOssel K, sowie eventuell vorgebbare 
weiteren GroBen, ais EingangsgroBe der zweiten Hash- 60 
Funktion h2 verwendet. Der "gehashte" Wert des in der er- 
sten Computereinheit U gebildeten Sitzungsschlussels. K, 
sowie eventuell weiterer GroBen, wird dann mit der Antwort 
A auf Uhereinstimmung gepriifL Damit wird das Ziel der 
Schlusselbestatigung des Sitzungsschlussels K erreicht. 65 

Dadurch, daB bei der Berechnung des Sitzungsschlussels 
K in der zweiten Computereinheit N der geheinte Netz- 
schlOssel s und bei der Berechnung des Sitzungsschlussels 
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K in der ersten Computereinheit U der offentliche Netz- 
schlOssel g* verwendet werden, wird die zweite Computer- 
einheit N durch die erste Computereinheit U authentifizierL 
Dies wird erreicht, vorausgesetzt daB fur die erste Compu- 
tereinheit U bekannt ist, daB der offentliche NetzschlOssel g 8 
tatsachlich zur zweiten Computereinheit N gehort. 

Im AnschluB an die Bestatigung des Sitzungsschlussels K 
durch Uberprufung der Antwort A wird ein Signaturterm 
berechnet (Schritt 110). Ilierzu wird mit Hilfe einer dritten 
Hash-Funktion h3 cine vicrtc EingangsgroBe gebildet Die 
dritte Hash-Funktion h3 kann, muB aber nicht dieselbe 
Hash-Funktion sein wie die erste Hash-Funktion hi und/ 
oder die zweite Hash-Funktion h2. Ais eine dritte Eingangs- 
groBe fur die dritte Hash-Funktion h3 wird ein Term ver- 
wendet, der eine oder weitere GroBen aufweist, aus denen 
auf den SitzungsschlOssel eindeutig nickgeschlossen wer- 
den kann, enthalt. Weiterhin kann die dritte EingangsgroBe 
das optionale erste Datenfeld datl oder auch ein optionales 
zweites Datenfeld dat2 enlhalten, wenn deren Verwendung 
in dem Verfahren vorgesehen wird. 

Solche GroBen sind der erste Wert g\ der offentliche 
NetzschlOssel g 8 sowie die zweite Zufallszahl r. 

Es kann spater nicht abgestritten werden, daB die Daten, 
die im ersten optionale Datenfeld datl und im zweiten optio- 
naien Datenfeld dat2 enthalten sind, von der ersten Compu- 
tereinheit U gesendet wurden. 

Die in dem ersten optionaien Datenfeld datl und in dem 
zweiten optionaien Datenfeld dat2 enthaltenen Daten kon- 
nen Telefonnummem, die aktuelie Zeit oder ahnliche hierfur 
geeignete Parameter sein. Diese Information kann ais Werk- 
zeug fur eine unanfechtbare GebOhrenabrechnung verwen- 
det werden. 

Unter Verwendung einer ersten Signatiirfunktion Sigu 
wird der Signaturterm aus mindestens der vicrtcn Eingangs- 
groBe gebildet. Um einen hoheren Sicherheitsgrad zu erzie- 
len, kann der Signaturterm verschlOsselt werden. Der Signa- 
turterm wird in diesem Fall mit dem SitzungsschlOssel K un- 
ter Verwendung der VerschlOsselungsfunktion Enc ver- 
schlOsselt und bildet den ersten verschlusselten Term VT1. 

AuGerdem wird, falls das Sicherheitsziel "Anonymitat 
des Benutzers" realisiert werden soil, ein zweiter verschius- 
selter Term VT2 berechnet, in dem eine IdentitatsgroBe 
IMUI der ersten Computereinheit U mit dem Sitzungschlus- 
sel K mit Hilfe der VerschlOsselungsfunktion Enc yerschlus- 
seit wird. Bei Verwendung eines optionaien zweiten Daten- 
fcldcs dat2 wird in der ersten Computereinheit U cin drittcr 
verschlOsselter Term VT3 berechnet, indem das optionale 
zweite Datenfeld dat2 mit dem SitzungsschlOssel K unter 
Verwendung der VerschlOsselungsfunktion Enc verschlOs- 
selt wird, das optionale zweite Datenfeld dat2 kann auch un- 
verschlusselt ubertragen werden. 

Die drei verschlusselten Terme konnen auch zu einem 
vierten verschlusselten Term VT4 zusammengefasst wer- 
den, in dem die Verkettung von Signaturterm, Identitats- 
groBe IMUI und oplionalem zweiten Datenfeld dal2 mil 
dem SitzungsschlOssel K verschlOsselt ist (Schritt 111). 

In der ersten Computereinheit U wird eine dritte Nach- 
richt M3 gebildet und codiert, die mindestens den Signatur- 
term und die IdentitatsgroBe IMUI der ersten Computerein- 
heit U aufweist. 

Falls die Anonymitat der ersten Computereinheit U ge- 
wahrleistet werden soli, weist die dritte Nachricht M3 an- 
statt der IdentitatsgroBe IMUI der ersten Computereinheit U 
mindestens entweder den zweiten verschlusselten Term 
VT2 oder den vierten verschlusselten Term VT4 auf. der die 
Information Ober die Identitat der ersten Computereinheit U 
in verschlusselter Form enthalt, die nur von der zweken 
Computereinheit N entschlOsselt werden kann. 
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Wenn die Verwendung des optionaien zweiten Datenfelds 
dat2 vorgesehen wird, weist die dritte Nachricht M3 zusatz- 
lich mindestens den dritten verschliisseiten Term VT3 oder 
den vierten verschliisseiten Term VT4 oder das optionale 
zweite Datenfeld dat2 im Klartext auf. s 

Wenn die dritte Nachricht M3 den ersten verschliisseiten 
Term VTl, den zweilen verschliisseiten Term VT2 oder den 
dritten verschliisseiten Term VT3 oder den vierten ver- 
schliisseiten Term VT4 enthalt, werden diese in der zweiten 
Computcrcinhcit N entschliisselt. Dies geschicht fur den 10 
eventuell vorhandenen ersten verschliisseiten Term VTl vor 
der Verification des Signaturterms. 

Die dritte Nachricht M3 wird von der ersten Computer- 
einheit U zu der zweiten Computereinheit N iibertragen 
(Schritt 112). 15 

Zusatzlich wird die Authentifikation der ersten Compu- 
tereinheit U gegeniiber der zweiten Computereinheit N 
durch den Signaturterm gewahrleistet, der die Zufallszahl r 
enthalt, durch deren Verwendung garandert wird, daB die 
dritte Nachricht M3 tatsachlich aktuell von der ersten Com- 20 
putereinheit U gesendet wurde. 

In der zweiten Computcrcinhcit N wird die dritte Nach- 
richt M3 decodiert, entschliisselt und anschlieBend wird an- 
hand eines Benuterzertifikats CertU, das der zweiten Com- 
putereinheit N zur Verfiigung stent, der Signaturterm verifi- 25 
ziert (Schritt 113). 

Wenn fur das Verfahren temporare Benutzeridentitaten 
vorgesehen werden, so wird das im vorigen beschriebene 
Verfahren um einige Verfahrensschritte erweitert 

Zuerst muB der zweiten Computereinheit N bekannt ge- 30 
macht werden, welche erste Computereinheit U eine neue 
temporare IdentitatsgroBe TMUIN von der zweiten Compu- 
tereinheit N zugewiesen bekommen soil. 

Hicrzu wird als zusatzlichcr Bcstandteil der ersten Nach- 
richt Ml eine alte temporare IdentitatsgroBe TMUIO von 35 
der ersten Computereinheit U an die zweite Computerein- 
heit N iibertragen. 

Nach Empfang der ersten Nachricht Ml ist somit in der 
zweiten Computereinheit N bekannt, fur welche erste Com- 
putereinheit U die neue temporare IdentitatsgroBe TMTJTN 40 
bestimmt ist. 

In der zweiten Computereinheit N wird dann die neue 
temporare IdentitatsgroBe TMUIN fur die erste Computer- 
einheit U gebildet. Dies kann z. B. durch Generierung einer 
Zufallszahl oder durch Tabellen, in denen mogliche Identi- 45 
tatsgroficn abgcspcichcrt sind, durchgefuhrt werden. Aus 
der neuen temporaren IdentitatsgroBe TMUIN der ersten 
Computereinheit U wird in der zweiten Computereinheit N 
ein funfter verschlusselter Term VT5 gebildet, indem die 
neue temporare IdentitatsgroBe TMUIN der ersten Compu- 50 
tereinheit U mit dern Sitzungsschliissel K unter Verwendung 
der Verschlusselungsfunktion Hnc verschlusselt wird. 

In diesem Fall weist die zweite Nachricht N2 zusatzlich 
mindestens den funften verschliisseiten Term VT5 auf. Der 
fiinfte verschlusselte Term VT5 wird dann in der ersten 55 
Computereinheit U entschliisselt. Nun ist die neue tempo- 
rare IdentitatsgroBe TMUIN der ersten Computereinheit U 
in der ersten Computereinheit U verfugbar. 

Darnit der zweiten Computereinheit N auch gewahrleistet 
wird, daB die erste Computereinheit U die neue temporare 60 
IdentitatsgroBe TMUIN korrekt empfangen hat, weist die 
dritte EingangsgroBe fur die erste Hash-Funktion hi oder 
fur die dritte Hash-Funktion h3 zusatzlich mindestens die 
neue temporare IdentitatsgroBe TMUTN der ersten Compu- 
tereinheit U auf. 65 

Da die Information der neuen temporaren IdentitatsgroBe 
TMUIN in dent Signaturterm in diesem Fall enthalLen ist, 
weist die dritte Nachricht M3 nicht mehr die IdentitatsgroBe 



1MUI der ersten Computereinheit U auf. 

Es ist auch moglich, die neue temporare IdentitatsgroBe 
TMUIN nicht in den Signaturterm zu integrieren, sondern 
den zweiten verschliisseiten Term VT2 zu bilden, indem an- 
statt der IdentitatsgroBe IMUI der ersten Computereinheit U 
die neue temporare IdentitatsgroBe TMUIN mit dem Sit- 
zungsschliissel K unter Verwendung der Verschlusselungs- 
funktion Enc verschlusselt wird. In diesem Fall weist die 
dritte Nachricht M3 zusatzlich den zweiten verschliisseiten 
Term VT2 auf. 

Die in dem Verfahren verwendeten Hash-Funktionen, die 
erste Hash-Funktion hi, die zweite Hash-Funktion h2 und 
die dritte Hash-Funktion h3 konnen durch die gleiche, aber 
auch durch verschiedene Hash-Funktionen realisiert wer- 
den. 

Zweites Ausfuhrungsbeispiel 

In Fig. 2 ist durch eine Skizze der Ablauf eines zweiten 
Ausfuhrungsbeispiels des Verfahrens dargestellt. 

Fur dieses Ausfuhrungsbeispiel des Verfahrens wird vor- 
ausgesctzt, daB in der ersten Computcrcinhcit U cin vcrtrau- 
enswurdiger offentlicher Benutzerschliissel KU der ersten 
Computereinheit U in Form eines Benutzerzertifikats CertU 
verfugbar gemacht wird und daB in der zweiten Computer- 
einheit N ein vertrauenswiirdiger offentlicher Netzschliissel 
g 5 der zweiten Computereinheit N in Form eines Netzzertifi- 
kats CertN verfugbar gemacht wird. Der offentliche Netz- 
schliissel g 5 muB nicht in der ersten Computereinheit U ver- 
fugbar sein. Ebenso ist es nicht notig, daB der offentliche 
Benutzerschliissel KU in der zweiten Computereinheit N 
verfugbar ist. 

In der ersten Computereinheit U wird die erste Zufalls- 
zahl t gencriert (Schritt 201). Aus der ersten Zufallszahl t 
wird mit Hilfe des erzeugenden Elements g einer endlichen 
Gruppe in der ersten Computereinheit U der erste Wert g c 
gebildet (Schritt 202) . 

Nach der Berechnung des ersten Werts g L wird eine erste 
Nachricht Ml codiert, die mindestens den ersten Wert g c und 
eine Identi tatsangabe icIca einer Zertifizierungscomputer- 
einheit CA, die das Netzzertifikax CertN liefert, das von der 
ersten Computereinheit U verifiziert werden kann, aufweist 
Die erste Nachricht Ml wird von der ersten Computerein- 
heit U an die zweite Computereinheit N iibertragen (Schritt 

203) . 

In der zweiten Computcrcinhcit N wird die crstc Nach- 
richt Ml decodiert. 

Wie in Fig. 2 beschrieben, wird in der zweiten Computer- 
einheit N eine zweite Zufallszahl r generiert wird (Schritt 

204) . Durch diesen zusatzlichen Verfahrensschritt wird ein 
zusatzliches Sicherheitsziel realisiert die Zusicherung der 
Frische (Aktualitat) eines im folgenden heschriebenen Sit- 
zungsschlussels K fur die zweite Computereinheit N. 

In der zweiten Computereinheit N wird mit Hilfe der er- 
sten Hash-Funktion hi der Sitzungsschliissel K gebildet 
(Schritt 205). Als erste EingangsgroBe der ersten Hash- 
Funktion hi wird ein erster Term verwendet Der erste Term 
wird gebildet, indem der erste Wert g 1 potenziert wird mit 
dem geheimen Netzschliissel s. 

Wenn die zweite Zufallszahl r verwendet wird, so weist 
die erste EingangsgroBe der ersten Hash-Funktion hi zu- 
satzlich mindestens die zweite Zufallszahl r auf. 

Nun wird in der zweiten Computereinheit N eine Antwort 
A gebildet (Schritt 206). Zur Bildung der Antwort A sind die 
im Rahmen des ersten Ausfuhrungsbeispiels beschriebenen 
Varianten vorgesehen. 

Eine Aneinanderreihung der zweiten Zufallszahl r, des 
Netzzertifikats CertN, der Antwort A, sowie ein optionales 
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erstes Datenfeld datl bilden die zweite Nachricht M2. Das 
option ale erste Datenfeld datl ist nor in der zweiten Nach- 
richt M2 enthalten, wenn dies in dem Verfahren voigesehen 
ist- 

Die zweite Nachricht M2 wird in der zweiten Computer- 5 
einheit N codiert und zu der ersten Computereinheit u Uber- 
iragen (SchxiU 207). 

In der ersten Computereinheit U wird die zweite Nach- 
richt M2 decodiert, so daB die erste Computereinheit U die 
zweite Zufallszahl r, die Antwort A sowic cvcntucll das op- 10 
tionale erste Datenfeld datl zur Verfugung hat Die Liinge 
des optionalen ersten Datenfeldes datl kann beliebig groB 
sein, d. h. es ist auch moglich, daB das optionale erste Daten- 
feld datl nicht vorhanden ist. 

AnschlieBend wird das in der zweiten Nachricht M2 ent- 15 
haltene Netzzertifikat C!ertN in der ersten Computereinheit 
verifizierL Somit steht der offentliche Netzschliissel g 8 in 
der ersten Computereinheit U zur Verfugung. 

In der ersten Computereinheit U wird nun ebenfalls der 
Sitzungsschlussel K gebildet (Schritt 208), mit Hilfe der er- 20 
sten Ilash-Funktion hi, die sowohl in der zweiten Compu- 
tereinheit N als auch in der ersten Computereinheit U bc- 
kannt ist. Eine zweite EingangsgroBe der ersten Hash-Funk- 
tion hi zur Bildung des Sitzungsschliissels K in der ersten 
Computereinheit U weist mindestens einen zweiten Term 25 
auf. Der zweite Term wird gebildet aus einer Exponentation 
des offentlichen Netzschiussels g* mit der ersten Zufallszahl 
L Wenn die Verwendung der zweiten Zufallszahl r in dem 
Verfahren zur Berechnung des Sitzungsschliissels K vorge- 
sehen wird, so weist die zweite EingangsgroBe der ersten 30 
Hash-Funktion hi zur Bildung des Sitzungsschliissels K in 
der ersten Computereinheit U zusatzlich die zweite Zufalls- 
zahl r auf. 

Durch die Verwendung der ersten Zufallszahl t und der 
zweiten Zufallszahl r bei der Generierung des Sitzungs- 35 
schliissels K wird die Aktualitat des Sitzungsschliissels K 
gewahrleistet, da jeweils die erste Zufallszahl t als auch die 
zweite Zufallszahl r nur fur jeweils einen Sitzungsschlussel 
K verwendet werden. Somit wird eine Wiedereinspielung 
eines alteren Schliissels als Sitzungsschlussel K verhindert. 40 

Nachdem in der ersten Computereinheit U der Sitzungs- 
schlussel K gebildet wurde, wird anhand der empfangenen 
Antwort A uberpruft, ob der in der ersten Computereinheit 
U gebildete Sitzungsschlussel K mit dem Sitzungsschlussel 
K, der in der zweiten Computereinheit N gebildet wurde, 45 
iibcrcinstimmt (Schritt 209). 

Abhangig von den im vorigen beschriebenen Varianten 
zur Bildung der Antwort A sind verschiedene Moglichkei- 
ten vorgesehen, den Sitzungsschlussel K anhand der Ant- 
wort A zu iiberprufen. 50 

Zur Lfberpriifung der Antwort A sind die im Rahmen des 
ersten Ausfuhrungsbeispiels beschriebenen Varianten vor- 
gesehen. Damit wird das Ziel der Schlusselbestatigung des 
Sitzungsschliissels K erreicht. 

Dadurch, daB bei der Berechnung des Sitzungsscblussels 55 
K in der zweiten Computereinheit N der geheime Netz- 
schliissel s und bei der Berechnung des Sitzungsschliissels 
K in der ersten Computereinheit U der offentliche Netz- 
schliissel verwendet werden, wird die zweite Computer- 
einheit N durch die erste Computereinheit U authentifizierL 60 
Dies wird erreicht, vorausgesetzt daB fur die erste Compu- 
tereinheit U bekannt ist, daB der offentliche Netzschliissel g s 
tatsachlich zur zweiten Computereinheit N gehort. 

Im AnschluB an die Bestatigung des Sitzungsschliissels "K 
durch Uberprufung der Antwort A wird der Signaturterm 65 
berechnet (Schritt 210). Hierzu wird mit Hilfe der dritten 
Hash-Funktion h3 eine vierte EingangsgroBe gebildeL Die 
dritte Hash-Funktion h3 kann, muB aber nicht dieselbe 
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Hash-Funktion sein wie die erste Hash-Funktion hi und/ 
oder die zweite Hash-Funktion h2. Als eine dritte Eingangs- 
groBe fur die dritte Hash-Funktion h3 wird ein Term ver- 
wendet, der eine oder weitere GroBen aufweist, aus denen 
auf den Sitzungsschlussel eindeutig riickgeschlossen wer- 
den kann. WeiterMn kann die dritte EingangsgroBe das op- 
tionale erste Datenfeld datl oder auch ein optionales zweites 
Datenfeld dat2 enthalten, wenn deren Verwendung in dem 
Verfahren vorgesehen wird. 

Solchc GroBen sind der crstc Wert g c , der offentliche 
Netzschliissel sowie die zweite Zufallszahl r. 

Es kann spater nicht abgestritten werden, daB die Daten, 
die im ersten optionale Datenfeld datl und im zweiten optio- 
nalen Datenfeld dat2 enthalten sind, von der ersten Compu- 
tereinheit U gesendet wurden. 

Die in dem ersten optionalen Datenfeld datl und in dem 
zweiten optionalen Datenfeld dat2 enthaltenen Daten kon- 
nen Telefonnummem, die aktuelle Zeit oder ahnliche hierfur 
geeignete Parameter sein. Diese Information kann als Werk- 
zeug fur eine unanfechtbare Gebiihrenabrechnung verwen- 
det werden. 

Untcr Verwendung cincr ersten Signaturfunktion Sigu 
wird der Signaturterm aus mindestens der vierten Eingangs- 
groBe gebildet. Um einen hoheren Sicherheitsgrad zu erzie- 
len, kann der Signaturterm verschlusselt werden. Der Signa- 
turterm wird in diesem Fall mit dem Sitzungsschlussel K un- 
ter Verwendung der Verschlusselungsfunktion Enc ver- 
schlusselt und bildet den ersten verschliisselten Term VT1 . 

AuBerdem wird, falls das Sicherheitsziel "Anonyrnitat 
des Benutzers" realisiert werden soil, ein zweiter verschliis- 
selter Term VT2 berechnet, in dem ein Benutzerzertifikat 
CertU der ersten Computereinheit U mit dem Sitzungschliis- 
sel K mit Hilfe der Verschlusselungsfunktion Enc verschliis- 
sclt wird. Bei Verwendung cincs optionalen zweiten Daten- 
feldes dat2 kann in der ersten Computereinheit U ein dritter 
verschliisselter Term VT3 berechnet werden, indem das op- 
tionale zweite Datenfeld dat2 mit dem Sitzungsschlussel K 
unter Verwendung der Verschlusselungsfunktion Enc ver- 
schlusselt wird. Das optionale zweite Datenfeld dat2 kann 
ebenso unverschlusselt uhertragen werden. 

Die drei verschliisselten Terme konnen auch zu einem 
vierten verschliisselten Term VT4 zusammengefasst wer- 
den, in dem die Verkettung von Signaturterm, Identitats- 
groBe IMUI und optionalem zweiten Datenfeld dat2 mit K 
verschlusselt ist (Schritt 211). 

In der ersten Computereinheit U wird cine dritte Nach- 
richt M3 gebildet und codiert, die mindestens den Signatur- 
term und das Benutzerzertifikat CertU der ersten Computer- 
einheit U aufweist. Falls die Benutzeranonymitat der ersten 
Computereinheit U gewahrieistet werden soli, weist die 
dritte Nachricht M3 anstatt des Benutzerzeruhkats CertU 
der ersten Computereinheit. U mindestens entweder den 
zweiten verschliisselten Term VT2 oder den vierten ver- 
schliisselten Term VT4 auf, der das Benutzerzertifikat CertU 
der erslen Computereinheit U in verschlusselLer Form ent- 
halt, die nur von der zweiten Computereinheit N entschliis- 
selt werden kann. 

Wenn die Verwendung des optionalen zweiten Datenfelds 
dat2 vorgesehen wird, weist die dritte Nachricht M3 zusatz- 
lich rnindestens den dritten verschliisselten Term VT3 oder 
den vierten verschliisselten- Term VT4 auf. Wenn die dritte 
Nachricht M3 den ersten verschliisselten Term VT1, den 
zweiten verschliisselten Term VT2 oder den dritten ver- 
schliisselten Term VT3 oder den vierten verschliisselten 
Term VT4 aufweist, werden diese in der zweiten Computer- 
einheit N entschlusselt; Dies geschieht fur den eventuell 
vorhandenen ersten verschliisselten Term VT1 vor der Veri- 
fikation des Signaturternis. 
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Die dritte Nachricht M3 wird vod der ersten Coinputer- 
einheit U zu der zweiten Computereinheit N ubertragen 
(Schritt212). 

In der zweiten (Computereinheit N wird die dritte Nach- 
richt M3 decodiert, entschlusselt und anschlieBend wird an- 
hand eines Benuterzertifikats CertU, das der zweiten Com- 
putereinheit N zur Verfiigung stent, der Signaturterni verifi- 
ziert (Schritt213). 

Zusatzlich wird die Authentifikation der ersten Compu- 
tereinheit U gegeniiber der zweiten Computereinheit N 
durch den Signaturterm gewahrleistet, der die Zufallszahl r 
enthalt, durch deren Verwendung garantiert wird, daB die 
dritte Nachricht M3 tatsachlich aktuell von der ersten Com- 
putereinheit U gesendet wurde. 

Wenn fur das Verfahren temporare Benutzeridentitaten 
vorgesehen werden, so wird das im vorigen beschriebene 
Verfahren um einige Verfahrensschritte erweiterL 

In der zweiten Computereinheit N wird fur die erste Com- 
putereinheit U eine neue temporare IdentitatsgroBe TMUIN 
gebildet, die der ersten Computereinheit U im weiteren zu- 
gewiesen wird. Dies kann durch Generierung einer Zufalls- 
zahl odcr durch Tabcllcn, in denen moglichc Idcntitatsgro- 
Ben abgespeichert sind, durchgefuhrt werden. Aus der neuen 
temporaren IdentitatsgroBe TMUIN der ersten Computer- 
einheit U wird in der zweiten Computereinheit N ein funf ter 
verschlusselter Term VT5 gebildet, indem die neue tempo- 
rare IdentitatsgroBe TMUIN der ersten Computereinheit U 
mit dern Sitzungsschlussel K unter Verwendung der Ver- 
schlusselungsfunktion Enc verschlusselt wird. 

In diesem Fall weist die zweite Nachricht M2 zusatzlich 
mindestens den funften verschlusselten Term VT5 auf. Der 
funfte verschlusselte Term VT5 wird dann in der ersten 
Computereinheit U entschlusselt. Nun ist die neue tempo- 
rare IdentitatsgroBe TMUIN der ersten Computereinheit U 
in der ersten Computereinheit U verfugbar. 

Damit der zweiten Computereinheit N auch gewahrleistet 
wird, daB die erste Computereinheit U die neue temporare 
IdentitatsgroBe TMUIN korrekt empfangen hat, weist die 
dritte EingangsgroBe fur die erste Hash-Funktion hi oder 
fur die dritte Hash-Funktion h3 zusatzlich mindestens die 
neue temporare IdentitatsgroBe TMUIN der ersten Compu- 
tereinheit U auf. 

Es ist auch moglich, die neue temporare IdentitatsgroBe 
TMUIN nicht in den Signaturterm zu integrieren, sondern 
den zweiten verschlusselten Term VT2 zu bilden, indem die 
neue temporare IdentitatsgroBe TMUIN der ersten Compu- 
tereinheit U mit dem Sitzungsschliissel K unter Verwendung 
der Verse hlusselungsfunktion Enc verschlusselt wird. In 
diesem Fall weist die dritte Nachricht M3 zusatzlich den 
zweiten verschlusselten Term VT2 auf. 50 

Drittes Ausfuhrungsbeispiel 

In Fig. 3 ist durch eine Skizze der Ablauf eines dritten 
Ausrdhrungsbeispiels dargestellt. 55 

Fur dieses Ausfuhrungsbeispiel des Verfahrens wird vor- 
ausgesetzt, daB in der ersten Computereinheit U kein ver- 
trauenswiirdiger offentlicher Netzschliissel g 5 der zweiten 
Computereinheit N verfugbar ist. In der ersten Computer- 
einheit U ist ein vertrauenswurdiger offentlicher Zertifizie- 60 
rungsschliissel cs einer Zertifizierungscomputereinheit CA 
verfugbar. Dies bedeutet, daB die erste Computereinheit U 
sich den vertrauenswiirdigen offeutlichen Netzschliissel g 5 
in Form eines NetZ7.ertifikats CertN von der Zertifizierung- 
scomputereinheit CA "besorgen" mufi. Ebenso braucht die 65 
zweite Computereinheit N den vertrauenswiirdigen offentli- 
chen Benutzerschiissel KU in Form eines Benutzerzertifi- 
kats CertU von der Zertifizierungscomputereinheit CA. 
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In der ersten Computereinheit U wird die erste Zufalls- 
zahl t generiert (Schritt 301). Aus der ersten Zufallszahl t 
wird mit Hilfe des erzeugenden Elements g einer endlichen 
Gruppe in der ersten Computereinheit U der erste Wert g* 
5 gebildet (Schritt 302). 

Nach der Berechnung des ersten Wens g c wird eine erste 
Nachricht Ml codiert, die mindestens den ersten Wert g c , 
eine IdentitatsgroBe 1MUI der ersten Computereinheit U 
und eine IdentitatsgroBe idcA einer Zertifizierungscompu- 
10 tcrcinhcit CA, die ein Nctzzcrtifikat CcrtN licfert, das von 
der ersten Computereinheit U verifiziert werden kann, auf- 
weist. Dies ist notig, wenn mehrere Zertifizierungsinstanzen 
mit unterschiedlichen geheimen Zertifizierungsschlusseln 
vorgesehen werden. Wenn das Sicherheitsziel der Benutze- 
15 ranonymitat reaiisiert werden soil, wird in der ersten Com- 
putereinheit U vor Bildung der ersten Nachricht Ml ein 
Zwischenschliissel L gebildet. Dies geschieht durch Poten- 
zierung des offentlichen Schlusselvereinbarungsschlussels 
g" der Zertifizierungscomputereinheit CA, der in der ersten 
Computereinheit U verfugbar ist, mit der ersten Zufallszahl 
t. Im weiteren wird in diesem Fall die IdentitatsgroBe IMUI 
der ersten Computereinheit U mit dem Zwischenschliissel L 
unter Anwendung einer Verschlusselungsfunktion Enc ver- 
schlusselt und das Ergebnis stellt einen funften verschlussel- 
ten Term VT5 dar. Der funfte verschlusselte Term VT5 wird 
an statt der IdentitatsgroBe IMUI der ersten Computereinheit 
U in die erste Nachricht Ml integriert. Die erste Nachricht 
Ml wird von der ersten Computereinheit u an die zweiten 
Computereinheit N ubertragen (Schritt 303). 

In der zweiten Computereinheit N wird die erste Nach- 
richt Ml decodiert, und eine vierte Nachricht M4 gebildet 
(Schritt 304), die eine Verkettung des der zweiten Compu- 
tereinheit N bekannten Zertifikats CertN auf den offentli- 
chen Netzschliissel g 5 , dem ersten Wert g l und der Identitats- 
groBe IMUI der ersten Computereinheit U aufweist. In dem 
Fall, daB das Sicherheitsziel der Benutzeranonymitat reaii- 
siert werden soil, wird in der vierten Nachricht M4 anstatt 
der IdentitatsgroBe IMUI der ersten Computereinheit U der 
funfte verschlusselte Term VT5 codiert. 

Die vierte Nachricht M4 wird in der zweiten Computer- 
einheit N codiert und anschlieBend an die Zertifizierung- 
scomputereinheit CA ubertragen (Schritt 304). 

In der Zertifizierungscomputereinheit CA wird die vierte 
Nachricht M4 decodiert. 

AnschlieBend wird, falls die Benutzeranonymitat gewahr- 
leistet wird, also der funfte vcrschliisscltc Term VT5 in der 
vierten Nachricht M4 mitgesendet wurde, in der Zertifizie- 
rungscomputereinheit CA der Zwischenschliissel L berech- 
net, indem der erste Wert g c mit einem geheimen Schiiissel- 
vereinbarungsschliissel u der Zertifizierungscomputerein- 
heit CA potenziert wird. 

Mit dem Zwischenschliissel L wird unter Verwendung der 
Verschlusselungsfunktion Enc der funfte verschlusselte 
Term VT5 entschlusselt, womit in der Zertifizierungscom- 
putereinheit CA die IdentitatsgroBe IMUI der ersten Com- 
putereinheit U bekannt ist 

In der Zertifizierungscomputereinheit CA wird dann das 
Benutzerzertifikat CertU ermittelt. Das Benutzerzertifikat 
CertU wird aus einer der Zertifizierungscomputereinheit CA 
eigenen Datenbank ermittelt, die alle Zertifikate der Compu- 
tereinheiten enthalt, fur die die Zertifizierungscomputerein- 
heit CA Zertifikate erstellt. 

Um die Gultigkeit des Netzzertifikats CertN und des Be- 
nutzerzertifikats CertU zu uberprufen, wird eine Tdentitats- 
angabe id>j der Netzcomputereinheit N und der in der vier- 
ten Nachricht mitgesendete offentlicbe Netzschliissel g 5 , die 
IdentitatsgroBe IMUI der ersten Computereinheit U sowie 
das ermitteite Benutzerzertifikat CertU mit einer Revokati- 
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onsliste verglichen, in der ungiiltige Zertifikate, Schlussel 
oder IdentitatsgrdBen aufgefiihrt sind. 

AnschlieBend bildet die Zertifizierungscomputereinheit 
CA drei Ketten von Zerufikaten, eine erste Zertifikatskette 
CeitChain (U, N), eine zweite Zertifikatsketie CertChain (N, 5 
U) sowie eine dritte Zertifikatskette CertChain (N, CA). 

Die erste ZertiGkaiskette CertChain (U, N) kann von der 
ersten Computereinheit U mittels des der ersten Computer- 
einheit U bekannten offentlichen Zertifizierungsschliissels 
der Zertifizierungscomputereinheit CA vcrifizicrt werden to 
und enthalt als letztes Glied ein Zertifikat CertN auf den of- 
fendichen Schlussel g 5 von der zweiten Computereinheit N. 

Die zweite Zertifikatskette CertChain (N, U) kann von der 
zweiten Computereinheit N verifiziert werden und enthalt 
als letztes Glied ein Zertifikat CertU auf den offentlichen 15 
Schlussel K[ J von der ersten Computereinheit U. 

Die dritte Zertifikatskette CertChain (N, CA) kann von 
der zweiten Computereinheit N verifiziert werden und ent- 
halt als letztes Glied ein Zertifikat auf den oiTenllicben Veri- 
fikationsschliissels von der Zertifizierungscomputereinheit 20 
CA. 

Die erste Zertifikatskette CertChain (TJ, N) und die zweite 
Zertifikatskette CertChain (N, U) konnen eindeutig identifi- 
ziert werden durch die Identifikatoren cidU und cidN. 

AnschlieBend wird aus mindestens einer Verkettung des 25 
ersten Werts g L und der Identifikatoren cidU und cidN ein 
dritter Term gebildet 

Der dritte Term wird mit Hilfe einer vierten Hash-Funk- 
tion h4 "gehasht" und das Ergebnis der Hash-Funktion h4 
wird unter Verwendung einer dritten Signaturfunktion SigcA 30 
signierL 

Weiterhin wird in der Zertifizierungscomputereinheit CA 
ein Zeitstempel TS kreiert. Dieser findet optional Eingang in 
den dritten Term. 

Eine in der Zertifizierungscomputereinheit CA gebildete 35 
funfte Nachricht M5 weist mindestens eine Verkettung aus 
dem signierten dritten Term und den Zertifikatsketten Cert- 
Chain (U, N) und CertChain (N, U) sowie optional den Zeit- 
stempel TS und die Zertifikatskette CertChain (N, CA) auf. 
Optional werden der signierte Hash-Wert. des dritten Terms 40 
sowie die Zertifikatskette CertChain (N, U) mit dem Zwi- 
schenschltissel L verschlusselt 

Die funfte Nachricht M5 wird in der Zertifizierungscom- 
putereinheit CA codiert und an die zweite Computereinheit 
N ubertragen (Schritt 305). Nachdem die funfte Nachricht . 45 
M5 in der zweiten Computereinheit N decodiert ist, wird der 
signierte Hash- Werts des dritten Terms verifiziert, sofern er 
nicht mit L verschlusselt ist 

In der zweiten Computereinheit N wird nun ein vierter 
Term gebildet der mindestens eine Verkettung der Zertifi- 50 
katskette CertChain (U, N) und des (optional mit dem Zwi- 
schenschlussel T. verschlusselten) signierten Hash-Wens des 
dritten Terms aufweist. 

In der zweiten Computereinheit N wird mit Hilfe der er- 
sten Hash-Funktion hi ein Sitzungsschlussel K gebildet Als 55 
eine erste EingangsgroBe der ersten Hash-Funktion hi wird 
eine Kokatenation eines ersten Terms mit der zweiten Zu- 
fallszahl r verwendet. Der erste Term wird gebildet, indem 
der erste Wert g* potenziert wird rnit einem geheimen Netz- 
schliissel s. Die zweite Zufallszahl r findet Verwendung, 60 
wenn das zusatzliche Sicherheitsziel der Zusicherung der 
Frische (Aktualitat) des Sitzungsschlussels K fiir die zwei- 
ten Computereinheit N realisiert werden soil. Ist dieses Si- 
cherheitsziel nicht benotigt, wird die zweite Zufallszahl r 
nicht in dem Verfahren zur Berechnung des Sitzungsschliis- 65 
sels K verwendet. 

In der zweiten Compulereinheii N wird eine Ant wort A 
gebildet Zur Bildung der Antwort A sind die in dem ersten 
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Ausfuhrungsbeispiel beschriebenen Varianten vorgesehen. 

Eine Aneinanderxeihung der zweiten Zufallszahl r, des 
vierten Terms, der Antwort A, sowie eines optionaien ersten 
Datenfeldes datl und des optionaien Zeicstempels bilden 
eine zweite Nachricht M2. Das opiionale erste Datenfeld 
datl ist nur in der zweiten Nachricht M2 enthalten, wenn 
dies in dem Verfahren vorgesehen wird. 

Die zweite Nachricht M2 wird in der zweiten Computer- 
einheit N codiert und zu der ersten Computereinheit U uber- 
tragen (Schritt 306). 

In der ersten Computereinheit U wird die zweite Nach- 
richt M2 decodiert, so daB die ersten Computereinheit U die 
zweite Zufallszahl r, die Antwort A sowie eventuell das op- 
tionale erste Datenfeld datl und eventuell den Zeitstempel 
TS zur Verfugung hat. Die Lange des optionaien ersten Da- 
tenfeldes datl kann beliebig groB sein, d. h. es ist auch mog- 
lich, daB das optionale erste Datenfeld datl nicht vorhanden 
ist 

In der ersten Compulereinheit U wird nun ebenfalls der 
Sitzungsschlussel K gebildet (Schritt 307), mit Hilfe der er- 
sten Hash-Funktion hi, die sowohl der zweiten Computer- 
einheit N als auch der ersten Computereinheit U bckannt ist 
Eine zweite EingangsgrbBe der ersten Hash-Funktion hi zur 
Bildung des Sitzungsschliissels K in der ersten Computer- 
einheit U weist mindestens einen zweiten Term auf. Der 
zweite Term wird gebildet aus einer Exponentation eines 6f- 
fentlichen Netzschliissels g* mit der ersten Zufallszahl t. 
Wenn die zweite Zufallszahl r in dem Verfahren zur Berech- 
nung des Sitzungsschlussels K vorgesehen wird, so weist 
die zweite EingangsgroBe der ersten Hash-Funktion hi zur 
Bildung des Sitzungsschlussels K in der ersten Computer- 
einheit U zusatzlich die zweite Zufallszahl r auf. 

Nachdem in der ersten Computereinheit U der Sitzungs- 
schlussel K gebildet wurdc, wird anhand der empfangenen 
Antwort A uberpriift, ob der in der ersten Computereinheit 
U gebildete Sitzungsschlussel K mit dem Sitzungsschlussel 
K, der in der zweiten Computereinheit N gebildet wurde, 
ubereinstimmt (Schritt 308). 

Abhangig von den im vorigen beschriebenen Varianten 
zur Bildung der Antwort A sind die ohen beschriebenen 
Moglichkeiten vorgesehen, den Sitzungsschlussel K anhand 
der Antwort A zu uberpriifen. 

Dadurctt daB bei der Berechnung des Sitzungsschlussels 
K in der zweiten Computereinheit N der geheime Netz- 
schliissel s und bei der Berechnung des Sitzungsschlussels 
K in der ersten Computereinheit U der offcntlichc Nctz- 
schlussel verwendet werden, wird die zweiten Computer- 
einheit N durch die ersten Computereinheit U authentifi- 
ziert. Dies wird erreicht, vorausgesetzt daB fur die erste 
Computereinheit U bekannt ist, daB der offentliche Netz- 
schliissel g 3 tatsachlich zur zweiten Computereinheit N ge- 
hbrt T^tzteres wird von U erreicht durch die Verifikation 
der Zertifikatskette CertChain (U, N) sowie des signierten 
Hashwerts des dritten Terms. Ist letzterer mit dem Zwi- 
schenschliissel L verschlusselt muB er vor der Verifikation 
mit dem Zwischenschliissel L entschliisselt werden. 

Im AnschluB an die Bestatigung des Sitzungsschlussels K 
durch Uberpriifung der Antwort A wird ein Signaturterrn 
berechnet (Schritt 309). Hierzu wird mit Hilfe einer dritten 
Hash-Funktion h3 eine vierte EingangsgroBe gebildet Die 
dritte Hash-Funktion h3 kann, muB aber nicht dieselbe 
Hash-Funktion sein wie die erste Hash-Funktion hi und/ 
oder die zweite Hash-Funktion h2. Als eine dritte Eingangs- 
groBe fur die dritte Hash-Funktion h3 wird ein Term ver- 
wendet der eine oder weitere GroBen aufweist aus denen 
auf den Sitzungs schlussel eindeutig riickgeschlossen wer- 
den kann. Weiterhin kann die dritte EingangsgroBe das op- 
tionale erste Datenfeld datl oder auch ein optionales zweites 
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Datenfeld dat2 enthalten, wenn deren Verwendung in dem 
Verfahren vorgesehen wirdL 

Solche GroBen sind der erste Wert g*, der offentiiche 
Netzschliissel g 5 sowie die zweite Zufallszahl r. 

Es kann spater nicht abgestritten werdea, daB die Daten, 
die im ersien optionale Datenfeld datl und im zweiten optio- 
nalen Datenfeld dal2 enthalten sind, von der ersten Compu- 
tereinheit U gesendet werden. 

Die in dem ersten optionalen Datenfeld datl und in dem 
zwcitcn optionalen Datenfeld dat2 cnthaltcncn Datcn kon- 
nen Tele'fonnummern, die aktuelle Zeit oder ahnliche hierfiir 
geeignete Parameter sein. Diese Information kann als Werk- 
zeug fur eine unanfechtbare Gebuhrenabrechnung verwen- 
det werden. 



10 



Verfahren um einige Verfahrensschritte erweitert. 

In der zweiten Computereinfaeit N wird fur die erste Com- 
putereinheit U eine neue temporare IdentitatsgroBe TMUIN 
gebildet, die der ersten Computereinheit U im weiteren zu- 
gewiesen wird Dies kann z. B. durch Generierung einer Zu- 
fallszahl oder durch Tabellen, in denen mbgliche Identitats- 
groBen abgespeichert sind, diirchgefuhrt werden. Aus der 
neuen temporaren IdentitatsgroBe TMUIN der ersten Com- 
putereinheit U wird in der zweiten Computereinheit N ein 
funftcr vcrschliisscltcr Term VT5 gebildet, indem die ncuc 
temporare IdentitatsgroBe TMUIN der ersten Computerein- 
heit U mit dem Sitzungsschliissel K unter \ferwendung der 
Verschlusselungsfunktion Enc verschliisselt wird. 

In diesem Fall weist die zweite Nachricht M2 zusatzlich 



Unter Verwendung einer ersten Signaturfunktion Sigu 15 mindestens den funften verschlusseiten Term VT5 auf. Der 



wird der Signaturterm aus rnindestens der vierten Eingangs- 
groBe gebildet. Um einen hbheren Sicherheitsgrad zu erzie- 
len, kann der Signaturterm verschliisselt werden. Der Signa- 
turterm wird in diesem Fall nut dem SilzungsschlQssel K un- 
ter Verwendung der Verschlusselungsfunktion Enc ver- 
schliisselt und bildet den ersten verschlusseiten Term VT1. 

Bci Verwendung cincs optionalen zwcitcn Datcnfcldcs 
dat2 wird in der ersten Computereinheit U ein dritter ver- 
schlusselter Term VT3 berechnet, indem das optionale 



funfte verschlusselte Term VT5 wird dann in der ersten 
Computereinheit U entschliisselt. Nun ist die neue tempo- 
rare IdentitatsgroBe TMUIN der ersten Computereinheit U 
in der ersten Computereinheit U verfiigbar. 
20 Damit der zweiten Computereinheit N auch gewahrleistet 
wird, daB die erste Computereinheit U die neue temporare 
IdentitatsgroBe TMUIN korrckt empfangen hat, wcist die 
dritte EingangsgroBe fur die erste Hash-Funktion hi oder 
fur die zweite Hash-Funktion h2 zusatzlich mindestens die 



zweite Datenfeld dat2 mit dem Sitzungsschliissel K unter 25 neue temporare IdentitatsgroBe TMUIN der ersten Compu 
Verwendung der Verschlusselungsfunktion Enc verschlus- * * * " 

selt wird. Das optionale zweite Datenfeld dat2 kann auch 
unverschliisselt, also im Klartext ubertragen werden. 

Alternativ zur Bildung des ersten und des dritten ver- 
schlusseiten Terms VT1 und VT3 kann auch ein vierter ver- 
schlusseiten Term VT4 gebildet werden, indem mindestens 
die Verkettung des Signaturterms sowie optional des Daten- 
feldes dat2 und des Zwischenschlussels L mit dem Sitzungs- 
schliissel K vcrschlussclt wird (Schritt 310). 

In der ersten Computereinheit U wird eine dritte Nach- 
richt M3 gebildet und codiert, die mindestens aus dem er- 
sten verschlusseiten Term VT1, und, wenn das optionale 
zweite Datenfeld dat2 verwendet wird, dem dritten ver- 
schlusseiten Term VT3 oder dem optionalen zweiten Daten- 
feld dat2 im Klartext, oder aber aus dem vierten verschlus- 
seiten Term VT4 besteht. 

Die dritte Nachricht M3 wird von der ersten Computer- 
einheit U zu der zweiten Computereinheit N ubertragen 
(Schritt 311). 

In der zweiten Computereinheit N wird die dritte Nach- 
richt M3 decodiert und anschlicBcnd wird der erste vcr- 
schliisselte Term VT1 sowie eventuell der dritte verschlds- 
selte Term VT3, oder aber der vierte verschlusselte Term 
VT4 entschliisselt. Wurden Teile der Nachricht M5 mit L 
verschliisselt, so kann nun die zweite Computereinheit N 50 
mit Hilfe des in Nachricht M3 empfangenen Zwischen- 
schliissels 7, die verschlusseiten Teile der Nachricht M5 ent- 
schlusseln. Daraufhin kann die zweite Computereinheit N 
die zweite Zertifikatskette Cert (N, U) sowie den signierten 
Hashwert des dritten Terms unLer Anwendung des oflentli- 55 
chen Verifikauonsschlussels von CA verifizieren. Anhand 
des Benutzerzertifikats CertU, das der zweiten Computer- 
einheit N nun zur Verfugung stent, wird der Signaturterm 
verifiziert 

Zusatzlich wird die Authentifikation der ersten Compu- 60 
tereinheit U gegeniiber der zweiten Computereinheit N 
durch den Signaturterm in der dritten Nachricht M3 gewahr- 
leistet, der die Zufaliszahl r enthalt, durch deren Verwen- 



30 
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40 



45 



tereinheit U auf. 

Im weiteren werden einige Altemativen der oben be- 
schriebenen Ausfuhrungsheispiele aufgezeigt: 

Die Erfindung beschrankt sich nicht auf ein Mobilfunksy- 
stem und somit auch nicht auf einen Benutzer eines Mobil- 
funksyste'ms und das Netz, sondern kann in alien Bereichen 
angewendet werden, in denen ein kryptographischer Schltis- 
selaustausch zwischen zwei Kommunikationspartnern be- 
notigt wird. Dies kann z. B. in cincr Kommunikationsbczic- 
hung zwischen zwei Rechnern, die Daten in verschliisselter 
Form austauschen wollen, der Fall sein. Ohne Beschran- 
kung der AUgemeingiiltigkeit wurde oben ein erster Kom- 
munikationspartner als erste Computereinheit U und ein 
zweiter Kornmunikationspartner als zweite Computerein- 
heit. N bezeichnet. 

Im Rahmen dieses Dokuments wurden folgende Verdf- 
fentlichungen zitiert: 

[1] A. Aziz, W. Diffie, "Privacy and Authentication for Wi- 
reless Local Area Networks", IEEE Personal Communicati- 
ons, 1994, S. 25 bis 31 

[2] M. Seller, "Proposed Authentication and Key Agree- 
ment Protocol for PCS", Joint Experts Meeting on Privacy 
and Authentication for Personal Communications, P&A 
JEM 1993, 1993, S. 1 bis 11 

[3] C. Carroll, Y. Frankel, Y. Tsiounis, "Efficient key distri- 
bution for slow computing devices", Conference Security & 
Privacy, Oakland, 1998 

[4] J. Zhou, K,. Lam, "Undeniable billing in mobile commu- 
nications", preprint 1998 
\5] US 5 214 700 

[6] DE-Broschiire: Telesec. Telekom, Produktentwicklung 
Telesec beim Femmeldeamt Siegen, S. 12-13 
[7] US 5 222 140 
[8] US 5 153 919 

[9] M. Beller et al, Privacy and Authentication on a Portable 
Communication System, IEEE Journal on Selected Areas in 
Communications, Vol. 11. No. 6, S. 821-829, 1993 
[10] DE 195 18 5465 CI 

[1 1] W. Diffie, P. C. van Oorschot, M. Wiener, "Authentica- 



dung auch garantiert wird, daB die dritte Nachricht. M3 tat- 

sachlich aktuell von der ersten Computereinheit U gesendet 65 tion and authenticated key exchanges". Designs, Codes and 
wurde *. Cryptography, VoL 2, S. 107-125, 1992, 

Wenn fur das Verfahren Lemporare Benulzeridenlitaten 
vorgesehen werden, so wird das im vorigen beschriebene 
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I . Verfahren zum rechnergestiitzten Austausch krypto- 
graphischer Schlussel zwischen einer erstea Computer- 
einheit (U) und einer zweiten Computereiaheit (N), 5 

- bei dem aus einer ersten Zufallszahl (t) mit 
HiLfe eines erzeugenden Elements (g) einer endli- 
chen Gruppe in der ersten Computereinheit (U) 
ein erster Wert (g*) gebildet wird, 

- bci dcm cine crstc Nachricht (Ml) von dcr cr- 10 
sten Computereinheit (U) an die zweite Compu- 
tereinheit (N) iibertragen wird, wobei die ersten 
Nachricht (Ml) mindestens den ersten Wert (g 1 ) 
aufweist, 

- bei dem in der zweiten Computereinheit (N) ein 15 
Sitzungsschliissel (K) mit Hilfe einer ersten Hash- 
Funktion (hi) gebildet wird, wobei eine erste Ein- 
gangsgroBe der ersten Hash-Funktion (hi) minde- 
stens einen ersten Term aufweisL, der gebildet 
wird durch eine Exponentiation des ersten Werts 20 
(g l ) mit einem geheimen Netzschliissel (s), 

- bci dcm in dcr ersten Computereinheit (U) dcr 
Sitzungsschliissel (K) gebildet wird mit Hilfe der 
ersten Hash-Funktion (hi), wobei eine zweite 
EingangsgroBe der ersten Hash-Funktion (hi) 25 
mindestens einen zweiten Term aufweist, der ge- 
bildet wird durch eine Exponentiation eines 6f- 
fentlichen Netzsch Kissels (g 3 ) mit der ersten Zu- 
fallszahl (t), 

- bei dem in der ersten Computereinheit (U) mit 30 
Hilfe einer zweiten Hash-Funktion (hi) oder der 
ersten Hash-Funktion (hi) eine vierte Eingangs- 
groBe gebildet wird, wobei eine dritte Eingangs- 
groBe fur die crstc Hash-Funktion (hi) odcr fur 
die zweite Hash-Funktion (h2) zur Bildung der 35 
vierten EingangsgroBe eine oder weitere GroBen 
aufweist, aus denen auf den Sitzungsschliissel ein- 
deutig riickgeschlossen werden kann. 

- bei dem in der ersten Computereinheit (U) ein 
Signaturterm aus mindestens der vierten Fin- 40 
gangsgroBe gebildet wird unter Anwendung einer 
ersten Signaturfunktion (Sigu), 

- bei dem eine dritte Nachricht (M3) von der er- 
sten Computereinheit (U) an die zweite Compu- 
tereinheit (N) iibertragen wird, wobei die dritte 45 
Nachricht (M3) mindestens den Signaturterm dcr 
ersten Computereinheit (U) aufweist, und 

- bei dem in der zweiten Computereinheit (N) der 
Signaturterm verifiziert wird. 

2. Verfahren nach Anspruch 1, bei dem der geheime 50 
Netzschliissel und/oder der ofrentliche Netzschliissel 
langlebige Schliissel ist/sind. 

3. Verfahren nach Anspruch 1 oder 2, bei dem die 
dritte EingangsgroBe mehrere GroBen aufweist, aus de- 
nen auf den Sitzungsschlussel eindeutig riickgeschlos- 55 
-sen werden kann. 

4. Verfahren nach einem der Anspriiche 1 bis 3, bei 
dem die GroBe bzw. die GroBen mindestens zumindest 
den ersten Wert (g^ und/oder den offentlichen Netz- 
schliissel (g*) enthalt bzw. enthalten. 60 

5. Verfahren nach einem der Anspriiche 1 bis 4, 

- bei dem die erste Nachricht (Ml) eine Identi- 
tatsangabe (idcA) einer Zertifizierungscomputer- 
einheit (CA), die ein Netzzertifikat (CertN) oder 
eine Kette von Zertifikaten, deren letztes das 65 
Netzzertifikat (CertN) ist, liefert, das oder die von 
der ersten Computereinheit (U) verifiziert werden 
kann, aufweist, 



- bei dem eine zweite Nachricht (N2) von der 
zweiten Computereinheit (N) an die erste Compu- 
tereinheit (U) iibertragen wird, wobei die zweite 
Nachricht (M2) mindestens das Netzzertifikat 
(CertN) oder die Kette von Zertifikaten, deren 
letztes das Netzzertifikat (CertN) ist, aufweist, 
und 

- bei dem in der ersten Computereinheit (U) das 
Netzzertifikat (CertN) oder die Kette von Zertifi- 
katen, dcrcn letztes das Netzzertifikat (CertN) ist, 
verifiziert wird. 

6. Verfahren nach Anspruch 5, 

- bei dem eine dritte Nachricht (M3) von der er- 
sten Computereinheit (U) an die zweite Compu- 
tereinheit (N) iibertragen wird, wobei die dritte 
Nachricht (M3) ein Benutzerzertifikat (CertTJ) 
oder eine Kette von Zertifikaten, deren letztes das 
Benutzerzertifikat (CertU) ist, aufweist, 

- bei dem in der zweiten Computereinheit (N) 
das Benutzerzertifikat (CertU) oder die Kette von 
Zertifikaten, deren letztes das Benutzerzertifikat 
(CertU) ist, verifiziert wird. 

7. Verfahren nach einem der Anspriiche 1 bis 6, 

- bei dem die erste Nachricht (Ml) eine Identi- 
tatsgroBe (IMUI) der ersten Computereinheit (U) 
und eine Idenritatsangabe (idcA) einer Zertifizie- 
rungscomputereinheit (CA), die der ersten Com- 
putereinheit (U) ein Netzzertifikat (CertN) liefert, 
das von der ersten Computereinheit (U) verifiziert 
werden kann, aufweist, 

- bei dem eine vierte Nachricht (M4) von der 
zweiten Computereinheit (N) an die Zertifizie- 
rungscomputereinheit (CA) iibertragen wird, wo- 
bei die vierte Nachricht (M4) mindestens den er- 
sten Wert (g c ) als EingangsgroBe aufweist, 

- bei dem eine funfte Nachricht (M5), die minde- 
stens das Netzzertifikat (CertN) oder eine Zertifi- 
katskette, deren letztes Glied das Netzzertifikat 
(CertN) ist, oder das Benutzerzertifikat (CertU) 
oder eine ZertifikaLskette, deren letztes Glied das 
Benutzerzertifikat (CertU) ist, aufweist, von der 
Zertifizierungscomputereinheit (CA) zu der zwei- 
ten Computereinheit (N) iibertragen wird, 

8. Verfahren nach einem der Anspriiche 1 bis 7, 

- bei dem eine vierte Nachricht (M4) von der 
zweiten Computereinheit (N) an die Zertifizie- 
rungscomputereinheit (CA) iibertragen wird, wo- 
bei die vierte Nachricht (M4) mindestens den of- 
fentlichen Netzschliissel (g 5 ), den ersten Wert (g*), 
die IdentitatsgroBe (IMUI) der ersten Computer- 
einheit (U) als EingangsgroBe aufweist und wobei 
eine AusgangsgroBe einer dritten Hash-Funktion 
(h3) unter Verwendung einer zweiten Signatur- 
funktion (SigN) signiert wird, 

- bei dem in der Zertifizierungscomputereinheit 
(CA) der erste signierte Term verifiziert wird, 

- bei dem in der Zertifizierungscomputereinheit 
(CA) ein dritter Term gebildet wird, der minde- 
stens den ersten- Wert (g% den offentlichen Netz- 
schliissel (g 3 ) und eine Identitatsangabe (idjsj) der 
zweiten Computereinheit (N) aufweist, 

- bei dem in der Zertifizierungscomputereinheit 
(CA) unter Verwendung einer vierten Hash-Funk- 
tion (h4) ein Hash-Wert uber den dritten Term ge- 
bildet wird, 

- bei dem in der Zertifizierungscomputereinheit 
(CA) der Hash-Wert uber den drillen Term unter 
Verwendung einer dritten Signaturfunktion 
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(Sigcx) signiert wird, 

- bei dem in der Zertifizierungscornputereinheit 
(CA) ein Netzzertifikat (CertN) gebildet wird, das 
rnindestens den dritten Term und den signierten 
Hash- Wert des dritten Terms aufweist, 5 

- bei dem in der Zertifizierungscomputereinheit 
(CA) auf einen lunflen Term der rnindestens die 
Identitatsangabe (iaVj) der zweiten Computerein- 
heit (N) und ein Benutzerzertifikat (CertU) auf- 
weist, cine vicrtc Mash-Funktion (h4) angewendet 10 
wird, 

- bei dem der Hash- Wert des funften Terms durch 
Verwendung der dritten Signaturfunktion (SigoO 
mit dem geheimen Zerufizierungsschlussel (cs) 
signiert und das Ergebnis den zweiten signierten 15 
Term darstellt, 

- bei dem eine funfte Nachricht (M5), die rninde- 
stens das Netzzertifikat (CertN), den funften Term 
und den zweiten signierten Term aufweist, von der 
Zertifizierungscomputereinheit (CA) zu der zwei- 20 
ten Computereinheit (N) ubertragen wird, 

- bei dem in der zweiten Computereinheit (N) 
das Netzzertifikat (CertN) und der zweite signierte 
Term verifiziert werden, 

- bei dem in der zweiten Computereinheit (N) ein 25 
vierter Term, der rnindestens den offentlichen 
Netzschiussel (g 5 ) und den signierten Hash- Wert 
des dritten Terms aufweist, gebildet wird, 

- bei dem eine zweite Nachricht (M2) von der 
zweiten Computereinheit (N) an die erste Cornpu- 30 
tereinheit (U) Ubertragen wird, wobei die zweite 
Nachricht (M2) rnindestens den vierten Term auf- 
weist, und 

- bei dem in der crstcn Computereinheit (U) das- 
Netzzertifikat (CertN) verifiziert wird. 35 

Verfahren nach einem der Anspriiche 1 bis 8, 

- bei dem die erste Nachricht (Ml) eine Identi- 
tatsgroBe (IMUI) der ersten Computereinheit (U) 
und eine Identitatsangabe (idcA> einer Zertifizie- 
rungscomputereinheit (CA), die der ersten Com- 40 
putereinheit (U) ein Netzzertifikat (CertN) oder 
eine Kette von Zertifikaten, deren Letztes das 
Netzzertifikat (CertN) ist, iiefert, das oder die von 
der ersten Computereinheit (U) verifiziert werden 
kann oder konnen, aufweist, 45 

- bei dem cine vicrtc Nachricht (M4) von der 
zweiten Computereinheit (N) an die Zertifizie- 
rungscomputereinheit (CA) ubertragen wird, wo- 
bei die vierte Nachricht (M4) rnindestens ein Zer- 
tifikat auf den offentlichen Netzschiussel (g 5 ), den 50 
ersten Wert (g c )und die IdentitatsgroBe (IMUI) der 
ersten Computereinheit (U) aufweist, 

- bei dem in der Zertifizierungscomputereinheit 
(CA) ein dritter Term gebildet wird, der rninde- 
stens den offentlichen Netzschiussel (g^oder eine 55 
GroBe, die den offentlichen Netzschiussel (g s ) 
eindeutig bestimmt, aufweist, 

- bei dem in der Zertifizierungscomputereinheit 
(CA) unter Verwendung einer vierten Hash-Funk- 
tion (h4) ein Hash- Wert uber den dritten Term ge- 60 
bildet wird, 

- bei dem in der Zertifizierungscomputereinheit 
(CA) der Hash- Wert uber den dritten Term unter 
Verwendung einer dritten Signaturfunktion 
(SigoO signiert wird, 65 

- bei dem eine funfte Nachricht (M5), die rninde- 
stens den signierten Hash- Wert iiber den dritten 
Term aufweist, von der Zertifizierungscomputer- 



einheit (CA) zu der zweiten Computereinheit (N) 
ubertragen wird, 

- bei dem in der zweiten Computereinheit (N) der 
signierte Hash- Wert Uber den dritten Term verifi- 
ziert wird, 

- bei dem eine zweite Nachricht (M2) von der 
zweiten ConipuLereinheit (N) an die erste Compu- 
tereinheit (U) ubertragen wird, wobei die zweite 
Nachricht (M2) rnindestens den signierten Ilash- 
Wcrt iiber den dritten Term aufweist, und 

bei dem in der ersten Computereinheit (U) der 
signierte Hash- Wert uber den dritten Term verifi- 
ziert wird. 

10. Verfahren nach Anspruch 9, bei dem der dritte 
Term einen offentlichen Benutzersignaturschliissel 
(KIT) oder eine GroBe, die den Benutzersignaturschlus- 
sel (KU) eindeutig bestimmt, aufweist, 

11. Verfahren nach Anspruch 9 oder 10, bei dem die 
Tunfle Nachricht (M5) sowie die zweite Nachricht 
(M2) rnindestens eine Kette von Zertifikaten aufweist. 

12. Verfahren nach Anspruch 8, bei dem der funfte 
Term cincn Zcitstcmpcl (TS) aufweist. 

13. Verfahren nach einem der Anspriiche 9 bis 12, bei 
dem der dritte Term einen Zeitstempel (TS) aufweist 

14. Verfahren nach einem der Anspriiche 7 bis 13, 

- bei dem in der ersten Computereinheit (U) vor 
Bildung der ersten Nachricht (Ml) ein Zwischen- 
schlussel (L) gebildet wird, indem ein ofFentlicher 
Schlusselvereinbarungsschlussel (g Q ) mit der er- 
sten Zufallszahl (t) potenziert wird, 

- bei dem in der ersten Computereinheit (U) vor . 
Bildung der ersten Nachricht (Ml) a us der Identi- 
tatsgroBe (IMUI) der ersten Computereinheit (U) 
ein zweiter vcrschlusscltcr Term (VT2) gebildet 
wird, indem die IdentitatsgroBe (IMUI) mit dem 
Zwischenschliissel (L) unter Anwendung einer 
Verschliisselungsfunktion (Enc) verschliisselt 
wird, 

- bei dem die erste Nachricht (Ml) anstatt der 
IdentitatsgroBe (TMUT) der ersten Computerein- 
heit (U) den zweiten verschlusselten Term (VT2) 
aufweist, 

- bei dem die vierte Nachricht (M4) anstatt der 
IdentitatsgroBe (IMUI) der ersten Computerein- 
heit (U) den zweiten verschlusselten Term (VT2) 
aufweist. 

15. Verfahren nach einem der Anspriiche 7 bis 14, bei 
dem in der funften Nachricht (M5) das Netzzertifikat 
(CertN) oder eine Zertifikatskette, deren letztes Glied 
das Netzzertifikat (CertN) ist, oder das Benutzerzertifi- 
kat (CertU) oder eine Zertifikatskette, deren letztes 
Glied das Benutzerzertifikat (CertU) ist, mit L ver- 
schlusselt ist. 

16. Verfahren nach einem der Anspriiche 7 bis 15, bei 
dem in der Zertifizierungscompulereinheil (CA) rnin- 
destens eine der GroBen, die Identitatsangabe (idjvi) der 
zweiten Computereinheit (N), die IdentitatsgroBe 
(IMUI) der ersten Computereinheit (U), der offentliche 
Netzschiussel (g 5 ), das Netzzertifikat (CertN) oder das 
Benutzerzertifikat (CertU) anhand einer Revokationsli- 
ste iiberpruft wird. 

17. Verfahren nach einem der Anspriiche 1 bis 16, 

- bei dem die erste Nachricht (Ml) rnindestens 
eine alte temporare IdentitatsgroBe (TMUTO) der 
ersten Computereinheit (U) aufweist, 

- bei dem in der zweiten Computereinheit (N), 
nachdem die erste Nachricht (Ml) empfangen 
wurde und bevor die zweite Nachricht (M2) gebil- 
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det wird, fur die erste Computereinheit (U) eine 
neue temporare IdentitatsgroBe (TMUIN) gebildet 
wird, 

- bei dem aus der neuen temporaren Identitats- 
groBe (TMUIN) der ersten Computereinheit (U) 5 
ein funfter verschltisselter Term (VT5) gebildet 
wird, ia dem die aeue Leuiporire IdentitatsgroBe 
(TMUIN) der ersten Computereinheit (U) mit 
dem Sitzungschliissel (K) unter Anwendung der 
Verschlusselungsfunktion (Enc) vcrschliissclt 10 
wird, 

- bei dem die zweite Nachricht (M2) mindestens 
den funften verschlusselten Term (VT5) aufweist, 

- bei dem in der ersten Computereinheit (U), 
nachdem die zweite Nachricht (M2) empfangen 15 
wurde und bevor die vierte EingangsgroBe gebil- 
det wird, der funfte verschliisselte Term (VT5) 
entschlusselt wird, 

- bei dem die drilte EingangsgroBe fur die erste 
Hash-Funktion (hi) oder fur die zweite Hash- 20 
Funktion (h2) zur Dildung der vierten Eingangs- 
groBe mindestens die ncuc temporare Identitats- 
groBe (TMUIN) der ersten Computereinheit (U) 
aufweist, und 

- bei dem die dritte Nachricht (M3) nicht die 25 
IdentitatsgroBe (IMUI) der ersten Computerein- 
heit (U) aufweist 

18. Verfahren nach einem der Anspruche 1 bis 17, 

- bei dem in der zweiten Computereinheit (N) 
eine Information zu dem Sitzungsschlussel (K) 30 
enthaltende Antwort (A) gebildet wird, 

- bei dem eine zweite Nachricht (M2) von der 
zweiten Computereinheit (N) an die erste Compu- 
tereinheit (U) iibcrtragen wird, wobci die zweite 
Nachricht (M2) mindestens die Antwort (A) auf- 35 
weist, und 

- bei dem in der ersten Computereinheit (U) der 
Sitzungsschlussel (K) anhand der Antwort (A) 
uberpruft wird. 

19. Verfahren nach einem der Anspruche 1 bis 18, bei 40 
dem die dritte Nachricht (M3) eine IdentitatsgroBe 
(IMUI) der ersten Computereinheit (U) aufweist. 

20. Verfahren nach einem der Anspruche 1 bis 19, 

- bei dem in der zweiten Computereinheit (N) die 
erste EingangsgroBe der ersten Hash-Funktion 45 
(hi) mindestens cine zweite Zufallszahl (r) auf- 
weist, 

- bei dem die zweite Nachricht (M2) die zweite 
Zufallszahl (r) aufweist, und 

- bei dem in der ersten Computereinheit (U) die 50 
zweite EingangsgroBe der ersten Hash-Funktion 
(hi) mindestens die zweite Zufallszahl (r) auf- 
weist 

21. Verfahren nach einem der Anspruche 1 bis 20, bei 
dem die GroBe bzw. die GroBen wie in Anspruch 3 die 55 
zweite Zufallszahl (r) enthalt bzw. enthalten. 

22. Verfahren nach einem der Anspruche 1 bis 21, 

- bei dem in der ersten Computereinheit (U) vor 
Bildung der dritten Nachricht (M3) aus der Identi- 
tatsgroBe (IMUI) der ersten Computereinheit (U) 60 
ein zweiter verschliisselter Term (VT2) gebildet 
wird, in dem mindestens die IdentitatsgroBe 
(IMUI) mit dem Sitzungsschlussel (K) unter An- 
wendung der Verschlusselungsfunlction (Rnc) ver- 
schlusselt wird, 65 

- bei dem die dritte Nachricht (M3) den zweiten 
verschlusselten Term (VT2) aufweist, und 

- bei dem in der zweiten Computereinheit (N), 
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nachdem die dritte Nachricht (M3) empfangen 
wurde, der zweite verschlusselte Term (VT2) ent- . 
senilis seit wird. 

23. Verfahren nach einem der Anspruche 1 bis 22, 

- bei dem die zweite Nachricht (M2) ein optiona- 
les erstes Datenfeld (datl) aufweist und 

- bei dem die dritte EingangsgroBe fur die erste 
Hash-Funktion (hi) oder fur die zweite Hash- 
Funktion (h2) zur Bildung der vierten Eingangs- 
groBe mindestens das optionalc erste Datenfeld 
(datl) aufweisL 

24. Verfahren nach einem der Anspruche 1 bis 23, 

- bei dem in der ersten Computereinheit (U) vor 
Bildung der dritten Nachricht (M3) ein dritter ver- 
schltisselter Term (VT3) gebildet wird, indem 
mindestens ein optionales zweites Datenfeld 
(dat2) mit dem Sitzungsschlussel (K) unter An- 
wendung der Verschlusselungsfunktion (Enc) ver- 
schlusselt wird, 

- bei dem die dritte Nachricht (M3) mindestens 
den dritten verschlusselten Term (VT3) aufweist, 
und 

- bei dem in der zweiten Computereinheit (N), 
nachdem die dritte Nachricht (M3) empfangen 
wurde, der dritte verschlusselte Term (VT3) ent- 
schlusselt wird. 

25. Verfahren nach einem der Anspruche 1 bis 24, 

- bei dem in der ersten Computereinheit (U) vor 
Bildung der dritten Nachricht (M3) ein erster ver- 
schliisselter Term (VT1) gebildet wird, indem 
mindestens der Signaturterm unter Anwendung 
der Verschlusselungsfunktion (Enc) verschlusselt 
wird, 

- bei dem die dritte Nachricht (M3) den ersten 
verschlusselten Term (VT1) aufweist, und 

- bei dem in der zweiten Computereinheit (N), 
nachdem die dritte Nachricht (M3) empfangen 
wurde und bevor der Signaturterm verifiziert 
wird, der erste verschlusselte Term (VT1) ent- 
schliisselt wird. 

26. Verfahren nach einem der Anspruche 1 bis 25, bei 
dem in der zweiten Computereinheit (N) eine Antwort 
(A) gebildet wird, indem eine Konstante (const), sowie 
eventuell weitere GroBen, die in der zweiten Compu- 
tereinheit (N) und in der ersten Computereinheit (U) 
bckannt sind, mit dem Sitzungsschlussel (K) unter An- 
wendung der Verschlusselungsfunktion (Enc) ver- 
schlusselt werden. 

27. Verfahren nach einem der Anspruche 1 bis 26, bei 
dem in der ersten Computereinheit (U) die Antwort (A) 
uberpriift wird, indem eine Konstante (const), sowie 
eventuell weitere GroBen, mit dem Sitzungsschlussel 
(K) unter Anwendung der Verschlusselungsfunktion 
(Enc) verschlusselt wird und das Ergebnis mit der Ant- 
wort (A) verglichen wird, 

28. Verfahren nach einem der Anspruche 1 bis 26, bei 
dem in der ersten Computereinheit (U) die Antwort (A) 
uberpruft wird, indem die Antwort (A) mit dem Sit- 
zungsschlussel (K) unter Anwendung der Verschlussel- 
ungsfunktion (Enc) entschlusselt wird und eine ent- 
schlusselte Konstante (const") mit einer Konstante 
(const), sowie eventuell weiteren GroBen, verglichen 
wird. 

29. Verfahren nach einem der Anspruche 1 bis 28, 

- bei dem in der zweiten Computereinheit (N) 
eine Antwort (A) gebildet wird, indem eine dritte - 
Hash-Funktion (h3) angewendet wird auf eine 
EingangsgroBe, die mindestens den Sitzungs- 
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schlussel (K) aufweist, und 

- bei dem in der ersten Computereinheit (U) die 
Antwort (A) iiberpruft wiri indem die dritte 
Hash-Funktion (h3) angewendet wird auf die Ein- 
gangsgroBe, die mindestens den Sitzungsschlussel 5 
(K) aufweist, und das Ergebnis mit der Antwort 
(A) verglichen wird. 

30. Verfahren nach einem der Anspriiche 1 bis 29, bei 
dem die dritte Nachricht (M3) mindestens ein optiona- 
lcs zwcitcs Datcnfcld (dat2) aufweist. 10 

3 1 . Verfahren nach einem der Anspriiche 1 bis 30, bei 
dem die erste Computereinheit (U) durch ein mobiles 
Kommunikationsendgerat und/oder die zweite Compu- 
tereinheit (N) durch eine Authentifizierungseinheit in 
einem Mobil- Kommunikationsnetz gebildet wird/wer- 15 
den. 

32. Anordnung zum rechnergesturzten Austausch 
kryptographischer Schlussel zwischen einer ersten 
Coinputereinheit (U) und einer zweiten Coinpulerein- 
heit (N), bei der die erste Computereinheit (U) und die 20 
zweite Computereinheit (N) derart eingerichtet sind, 
da6 folgcndc Vcrfahrcnsschrittc durchfuhrbar sind: 

- aus einer ersten Zufaliszahl (t) wird mit Hilfe 
eines erzeugenden Elements (g) einer endlichen 
Gruppe in der ersten Computereinheit (U) ein er- 25 
ster Wert (g l ) gebildet, 

- eine erste Nachricht (Ml) wird von der ersten 
Computereinheit (U) an die zweite Computerein- 
heit (N) ubertragen, wobei die ersten Nachricht 
(Ml) mindestens den ersten Wert (g 1 ) aufweist, 30 

- in der zweiten Computereinheit (N) wird ein 
Sitzungsschlussel (K) mit Hilfe einer ersten Hash- 
Funktion (hi) gebildet, wobei eine erste Ein- 
gangsgroBc der ersten Hash-Funktion (hi) minde- 
stens einen ersten Term aufweist, der gebildet 35 
wird durch eine Exponentiation des ersten Werts 
(g l ) mit einem geheimen Netzschlussel (s), 

- in der ersten Computereinheit (U) wird der Sit- 
zungsschlussel (K) gebildet mit Hilfe der ersten 
Hash-Funktion (h 1 ), wobei eine zweite Eingangs- 40 
groBe der ersten Hash-Funktion (hi) mindestens 
einen zweiten Term aufweist, der gebildet wird 
durch eine Exponentiation eines offentlichen 
Netzschlussels (g*) mit der ersten Zufaliszahl (t), 

- in der ersten Computereinheit (U) wird mit 45 
Hilfe cincr zweiten Hash-Funktion (h2) odcr der 
ersten Hash-Funktion (hi) eine vierte Eingangs- 
groBe gebildet wird, wobei eine dritte Eingangs- 
groBe fur die erste Hash-Funktion (hi) oder fur 
die zweite Hash-Funktion (h2) zur Bildung der 50 
vierten KingangsgroBe eine oder weitere GroBen 
aufweist, aus denen auf den Sitzungsschlussel ein- 
deutig nickgeschlossen werden kann. 

- in der ersten Computereinheit (U) wird ein Si- 
gnaturterm aus mindestens der vierten Eingangs- 55 
groBe gebildet unter Anwendung einer ersten Si- 
gnaturfunktion (Sigu), 

- eine dritte Nachricht (M3) wird von der ersten 
Computereinheit (U) an die zweite Computerein- 
heit (N) ubertragen, wobei die dritte Nachricht 60 
(M3) mindestens den Signaturterm der ersten 
Computereinheit (U) aufweist, und 

- in der zweiten Computereinheit (N) wird der 
Signaturterm verifiziert. 

33. Anordnung nach Anspruch 31, bei dem der ge- 65 
heime Netzschlussel und/oder der offentliche Netz- 
schlussel langlebige Schlussel isl/sind. 

34. Anordnung nach Anspruch 32 oder 33, bei der die 
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erste Computereinheit (U) und die zweite Computer- 
einheit (N) derart eingerichtet sind, daB die dritte Ein- 
gangsgroBe mehrere GroBen aufweist, aus denen auf 
den Sitzungsschlussel eindeutig ruckgeschlossen wer- 
den kann. 

35. Anordnung nach einem der Anspriiche 32 bis 34, 
bei der die ersle Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB die 
GroBe bzw. die GroBen mindestens zumindest den er- 
sten Wert (gO und/oder den offentlichen Netzschlussel 
(g* 1 ) enthalt bzw. enthalten. 

36. Anordnung nach einem der Anspriiche 32 bis 35, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fbl- 
gende Verfahrensschritte durchfuhrbar sind: 

- die erste Nachricht (Ml) weist eine Identitats- 
angabe (id*CA) einer Zertifizierungscomputerein- 
heit (CA), die ein Netzzertifikat (CertN) oder eine 
Kette von Zertifikaten, deren lelztes das Netzzerti- 
fikat (CertN) ist, liefert, das oder die von der er- 
sten Computereinheit (U) verifiziert werden kann, 
auf, 

- eine zweite Nachricht (M2) wird von der zwei- 
ten Computereinheit (N) an die erste Computer- 
einheit (U) ubertragen, wobei die zweite Nach- 
richt (M2) mindestens das Netzzertifikat (CertN) 
oder die Kette von Zertifikaten, deren letztes das 
Netzzertifikat (CertN) ist, aufweist, und 

- in der ersten Computereinheit (U) wird das 
Netzzertifikat (CertN) oder die Kette von Zertifi- 
katen, deren letztes das Netzzertifikat (CertN) ist, 
verifiziert wird. 

37. Anordnung nach Anspruch 36, bei der die erste 
Computereinheit (U) und die zweite Computereinheit 
(N) derart eingerichtet sind, daB folgende Verfahrens- 
schritte durchfuhrbar sind: 

- eine dritte Nachricht (M3) wird von der ersten 
Computereinheit (U) an die zweite Computerein- 
heit (N) ubertragen, wobei die dritte Nachricht 
(M3) ein Benutzerzertifikat (CertU) oder eine 
Kette von Zertifikaten, deren letztes das Benutzer- 
zertiflkat (CertU) ist, aufweist, 

- in der zweiten Computereinheit (N) wird das 
Benutzerzertifikat (CertU) oder die Kette von Zer- 
tifikaten, deren letztes das Benutzerzertifikat 
(CertU) ist, verifiziert. 

38. Anordnung nach einem der Anspriiche 32 bis 37, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

- die erste Nachricht (Ml) weist eine Identitats- 
groBe (TMUT) der ersten Computereinheit (U) und 
eine Identitatsangabe (idcA) einer Zertifizierung- 
scomputereinheit (CA), die der ersten Computer- 
einheit (U) ein Netzzertifikat (CertN) liefert, das 
von der ersten Computereinheit (U) verifiziert 
werden kann, auf, 

- eine vierte Nachricht (M4) wird von der zwei- 
ten Computereinheit (N) an die Zertifizierung- 
scomputereinheit (CA) ubertragen, wobei die 
vierte Nachricht (M4) mindestens den ersten Wert 
(g 1 ) als EingangsgroBe aufweist, 

- eine funfte Nachricht (M5), die mindestens das 
Netzzertifikat (CertN) oder eine Zertifikatskette, 
deren Tetztes Glied das Netzzertifikat (CertN) ist, 
oder das Benutzerzertifikat (CertU) oder eine Zer- 
tifikalsketle, deren letztes Glied das Benutzerzer- 
tifikat (CertU) ist, aufweist, wird von der Zertifi- 
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zierungscomputereinheit (CA) zu der zweiten 
Computereinheit (N) ubertragen, 

39. Anordnung nach einem der Anspriiche 32 bis 38, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) deran eingerichtet sind, daB fol- 5 
gende Verfahrensschritte durchflihrbar sind: 

- eine vierLe Nachricht (M4) wird von der zwei- 
ten Computereinheit (N) an die Zertifizierung- 
scomputereinheit (CA) ubertragen, wobei die 
vicrtc Nachricht (N4) mindcstcns den offentlichen to 
Netzschliissel (g 5 ), den ersten Wert (g*), die Iden- 
titatsgroBe (IMUI) der ersten Computereinheit 
(U) als EingangsgroBe aufweist und wobei eine 
AusgangsgroBe einer dritten Hash-Funktion (h3) 
unter Verwendung einer zweiten Signaturfunktion 15 
(Sig N ) signiert wird, 

- in der Zertifizierungscomputereinheit (CA) 
wird der erste signierte Term verifiziert, 

- in der Zertifizierungscomputereinheit (CA) 
wird ein dritter Term gebildet, der mindestens den 20 
ersten Wert (g 1 ), den offentlichen Netzschliissel 
(g 4 ) und cine Identitatsangabe (idjsj) der zweiten 
Computereinheit (N) aufweist, 

- in der Zertifizierungscomputereinheit (CA) 
wird unter Verwendung einer vierten Hash-Funk- 25 
tion (h4) ein Hash-Wert iiber den dritten Term ge- 
bildet, 

- in der Zertifizierungscomputereinheit. (CA) 
wird der Hash-Wert iiber den dritten Term unter 
Verwendung einer dritten Signaturfunktion 30 
(SigoO signiert, 

- in der Zertifizierungscomputereinheit (CA) 
wird ein Netzzertifikat (CertN) gebildet, das min- 
dcstcns den dritten Term und den signicrtcn Hash- 
Wert des dritten Terms aufweist, 35 

- in der Zertifizierungscomputereinheit (CA) 
wird auf einen funften Term, der mindestens die 
Identitatsangabe (ic^) der zweiten Computerein- 
heit (N) und ein Benutzerzertifikat (CertU) auf- 
weist, eine vierte Hash-Funktion (h4) angewen- 40 
det, 

- der Hash-Wert des funften Terms wird durch 
Verwendung der dritten Signaturfunktion (SigcA) 
mit dem geheimen Zertifizierungsschlussel (cs) 
signiert und das Ergebnis stellt den zweiten si- 45 
gnicrtcn Term dar, 

- eine funfte Nachricht (M5), die mindestens das 
Netzzertifikat (CertN), den funften Term und den 
zweiten signierten Term aufweist, wird von der 
Zertifizierungscomputereinheit (CA) zu der zwei- 50 
ten Computereinheit (N) ubertragen, 

- in der zweiten Computereinheit (N) werden das 
Netzzertifikat (CertN) und der zweite signierte 
Term verifiziert, 

,— in der zweiten Computereinheit (N) wird ein 55 
vierter Term, der mindestens den offentlichen 
Netzschliissel (g 5 ) und den signierten I lash- Wert 
des dritten Terms aufweist, gebildet, 

eine zweite Nachricht (M2) wird von der zwei- 
ten Computereinheit (N) an die erste Computer- 60 
einheit (U) ubertragen, wobei die zweite Nach- 
richt (M2) mindestens den vierten Term aufweist, 
und 

- in der ersten Computereinheit (U) wird das 
Netzzertifikat (CertN) verifiziert. 65 

40. Anordnung nach einem der Anspriiche 33 bis 39, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 



gende Verfahrensschritte durchfuhrbar sind: 

- die erste Nachricht (Ml) weist eine Identitats- 
groBe (IMUI) der ersten Computereinheit (U) und 
eine Identitatsangabe (ido\) einer Zertifizierung- 
scomputereinheit (CA), die der ersten Computer- 
einheit (U) ein Netzzertifikat (CertN) oder eine 
Kette von Zertifikaten, deren letztes das Netzzerti- 
fikat (CertN) ist, liefert, das oder die von der er- 
sten Computereinheit (U) verifiziert werden kann 
oder konncn, auf, 

eine vierte Nachricht (M4) wird von der zwei- 
ten Computereinheit (N) an die Zertifizierung- 
scomputereinheit (CA) ubertragen, wobei die 
vierte Nachricht (M4) mindestens ein Zertifikat 
auf den offentlichen Netzschliissel (g 5 ), den ersten 
Wert (g^und die IdentitatsgroBe (IMUI) der ersten 
Computereinheit (U) aufweist, 

- in der Zertifizierungscomputereinheit (CA) 
wird ein dritter Term gebildet, der mindestens ei- 
nen offentlichen Netzschliissel (g s ) oder eine 
GroBe, die den offentlichen Netzschliissel (g 5 ) 
cindcutig bestimmt, aufweist, 

- in der Zertifizierungscomputereinheit (CA) 
wird unter Verwendung einer vierten Hash-Funk- 
tion (h4) ein Hash-Wert iiber den dritten Term ge- 
bildet, 

- in der Zertifizierungscomputereinheit (CA) 
wird der Hash-Wert iiber den dritten Term unter 
Verwendung einer dritten Signaturfunktion 
(SigcA) signiert, 

- eine funfte Nachricht (M5), die rnindestens den 
signierten Hash-Wert iiber den dritten Term auf- 
weist, wird von der Zertifizierungscomputerein- 
heit (CA) zu der zweiten Computereinheit (N) 
ubertragen, 

- in der zweiten Computereinheit (N) wird der si- 
gnierte Hash-Wert fiber den dritten Term verifi- 
ziert, 

- eine zweite Nachricht (M2) wird von der zwei- 
ten Computereinheit. (N) an die erste Computer- 
einheit (U) ubertragen, wobei die zweite Nach- 
richt (M2) mindestens den den signierten Hash- 
Wert iiber den dritten Term aufweist, und 

- in der ersten Computereinheit (U) wird der si- 
gnierte Hash-Wert fiber den dritten Term verifi- 
ziert. 

41. Anordnung nach Anspruch 40, bei der die erste 
Computereinheit (U) und die zweite Computereinheit 
(N) derart eingerichtet sind, daB folgende Verfahrens- 
schritte durchfuhrbar sind: 

der dritte Term weist den offentlichen Benutzersigna- 
turschliissel (KU) oder eine GroBe, die den Benutzersi- 
gnaturschlussel (KU) eindeutig bestimmt, auf. 

42. Anordnung nach Anspruch 40 oder 41, bei der die 
erste Computereinheit (U) und die zweite Computer- 
einheit (N) derart eingerichtet sind, daB folgende Ver- 
fahrensschritte durchfuhrbar sind: 

die funfte Nachricht (M5) sowie die zweite Nachricht 
(M2) weist mindestens eine Kette von Zertifikaten auf. 

43. Anordnung nach einem der Anspriiche 38 bis 42, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

der funfte Term weist einen Zeitstempel (TS) auf. 

44. "Anordnung nach einem der Anspriiche 38 bis 43, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 
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der dritte Term weist einen Zeitstempel (TS) auf. 

45. Anordnung nach einem der Anspriiche 38 bis 44, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, da6 fol- 
gende Verfahrensschritte durchfiihrbar sind: 5 

- in der ersten Cornputereinheit (U) wird vor Bil- 
dung der -ersten Nachrichl (Ml) ein Zwischen- 
schlussei (L) gebildet wird. indem ein offentlicher 
Schlusselvereinbarungsschlussel (g u ) mit der er- 
sten Zufallszahl (t) potenziert, to 

in der ersten Cornputereinheit (U) wird vor Bil- 
dung der ersten Nachricht (Ml) aus der Identitats- 
groBe (IMUI) der ersten Cornputereinheit (U) ein 
zweiter verschlusselter Term ( Vl"2) gebildet wird, 
indem die IdentitatsgroBe (IMUI) mit dem Zwi- 15 
schenschliisseL (L) unter Anwendung einer Ver- 
schlusselungsfunktion (Enc) verschlusselt, 

- die erste Nachricht (Nil) weist anstatt der Iden- 
titatsgroBe (IMUI) der ersten Cornputereinheit 
(U) den zweiten verschlusselten Term (VT2) auf, 20 

- bei dem die vierte Nachricht (M4) anstatt der 
IdentitatsgroBe (IMUI) der ersten Cornputerein- 
heit (U) den zweiten verschlusselten Term (VT2) 
aufweist. 

46. Anordnung nach einem der Anspriiche 38 bis 45, 25 
bei der die erste Cornputereinheit (U) und die zweite 
Cornputereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfiihrbar sind: 

- in der ftinften Nachricht (M5) ist das Netzzerti- 
fikat (CertN) oder eine Zertifikatskette, deren letz- 30 
tes Glied das Netzzertifikat (CertN) ist, oder das 
Benutzerzertifikat (CertU) oder eine Zertifikats- 
kette, deren letztes Glied das Benutzerzertifikat 
(CcrtU) ist, mit L verschlusselt. 

47. Anordnung nach einem der Anspriiche 38 bis 46, 35 
bei der die erste Cornputereinheit (U) und die zweite 
Cornputereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

in der Zertifizierungscomputereinheit (CA) wird min- 
destens eine der GroBen, die Tdentitatsangahe (id^) der 40 
zweiten Cornputereinheit (N), die IdentitatsgroBe 
(IMUI) der ersten Cornputereinheit (U), der offentliche 
Netzschliissel (g 5 ), das Netzzertifikat (CertN) oder das 
Benutzerzertifikat (CertU) anhand einer Revokationsli- 
ste uberpriift. 45 

48. Anordnung nach cincm der Anspriiche 32 bis 47, 
bei der die erste Cornputereinheit (U) und die zweite 
Cornputereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

- die erste Nachricht (Ml) weist mindestens eine 50 
alte temporare IdentitatsgroBe (TMUIO) der er- 
sten Computereinheit (U) auf, 

- in der zweiten Computereinheit (N) wird, nach- 
dem die erste Nachricht (Ml) empfangen wurde 
und be vor die zweite Nachricht (M2) gebildet 55 
wird, flir die erste Computereinheit (U) eine neue 
temporare IdentitatsgroBe (TMUIN) gebildet, 

- aus der neuen temporaren IdentitatsgroBe 
(TMUIN) der ersten Computereinheit (U) wird 
ein funfte verschlusselter Term (VT5) gebildet, 60 
indem die neue temporare IdentitatsgroBe 
(TMUIN) der ersten Computereinheit (U) mit 
dem Sitzungschitissel (K) unter Anwendung der 
Verschlusselungsfunktion (Enc) verschlusselt 
wird, 65 

- die zweite Nachricht . (Ml) weist mindestens 
den funflen verschlusselten Term (VT5) auf, 

- in der ersten Computereinheit (U) wird, nach- 



dem die zweite Nachricht (M2) empfangen wurde 
und bevor die vierte EingangsgroBe gebildet wird, 
der funfte verschlusselte Term (VT5) entschliis- 
selt, 

- die dritte EingangsgroBe fur die erste Hash- 
Funktion (hi) oder flir die zweite Hash-Funktion 
(hi) zur Bildung der vierten EingangsgroBe weist 
mindestens die neue temporare IdentitatsgroBe 
(TMUIN) der ersten Computereinheit (U) auf, 
und 

die dritte Nachricht (M3) weist nicht die Identi- 
tatsgroBe (IMUI) der ersten Computereinheit (U) 
auf. 

49. Anordnung nach einem der Anspriiche 32 bis 48, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfiihrbar sind: 

- in der zweiten Computereinheit (N) wird eine 
Information zu dem Sitzungsschlussel (K) enthal- 
tende Ant wort (A) gebildet, 

- eine zweite Nachricht (M2) wird von der zwei- 
. ten Computereinheit (N) an die crstc Computer- 
einheit (U) ubertragen, wobei die zweite Nach- 
richt (Ml) mindestens die Antwort (A) aufweist, 
und 

- in der ersten Computereinheit (U) wird der Sit- 
zungsschliissei (K) anhand der Antwort (A) uber- 
pruft. 

50. Anordnung nach einem der Anspriiche 32 bis 49, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind; 

die dritte Nachricht (M3) weist eine IdentitatsgroBe 
(IMUI) der ersten Computereinheit (U) auf. 

51. Anordnung nach einem der Anspriiche 32 bis 48, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

- in der zweiten Computereinheit (N) weist die 
erste EingangsgroBe der ersten Hash-Funktion 
(hi) mindestens eine zweite Zufallszahl (r) auf, 

- die zweite Nachricht (M2) weist die zweite Zu- 
fallszahl (r) auf, und 

- in der ersten Computereinheit (U) weist die 
zweite EingangsgroBe der ersten Hash-Funktion 
(hi) mindestens die zweite Zufallszahl (r) auf. 

52. Anordnung nach einem der Anspriiche 32 bis 47, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB die 
GroBe bzw. die GroBen nach Anspruch 34 die zweite 
Zufallszahl (r) enthalt bzw. enthalten. 

53. Anordnung nach einem der Anspriiche 32 his 51, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchTuhrbar sind: 

- in der ersten Computereinheit (U) wird vor Bil- 
dung der dritten Nachricht (M3) aus der Identi- 
tatsgroBe (IMUI) der ersten Computereinheit (U) 
ein zweiter verschlusselter Term (VT2) gebildet, 
indem mindestens die Identitatsgrofie (IMUI) mit 
dem Sitzungsschlussel (K) unter Anwendung der 
Verschlusselungsfunktion (Enc) verschlusselt 
wird, 

- die dritte Nachricht (M3) weist den zweiten 
verschlusselten Term (VT2) auf, und 

- in der zweiten Computereinheit (N) wird, nach- 
deni die drilte Nachrichl (M3) empfangen wurde, 
der zweite verschlusselte Term (VT2) entschlus- 
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selt 

54. Anordnung nach einem der Anspriiche 32 bis 53, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar siad: 5 

- die zweite Nachricht (M2) weist ein opuonales 
erstes DaLenfeld (daLl) auf, und 

- die dritte EingangsgroBe fiir die erste Hash- 
Funktion (hi) oder fur die zweite Ilash-Funktion 
(h2) zur Bildung der vicrtcn EingangsgroBe wcist 10 
mindestens das optionale erste Date nf eld (datl) 
auf. 

55. Anordnung nach einem der Anspriiche 32 bis 54, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 15 
gende Verfahrensschritte durchfuhrbar sind: 

- in der ersten Computereinheit (U) wird vor Bil- 
dung der dritten Nachricht (M3) ein dritter ver- 
sehlusselter Term (VT3) gebildet, indem minde- 
stens ein optionales zweites Datenfeld (dat2) mit 20 
dem Sitzungsschliissel (K) unter Anwendung der 
VcrschlQssclungsfunktion (Enc) vcrschliissclt 
wird, 

- die dritte Nachricht (M3) weist mindestens den 
dritten verschlusselten Term (VT3) auf, und 25 

- in der zweiten Computereinheit (N) wird, nach- 
dem die dritte Nachricht (M3) empfangen wurde, 
der dritte verschliisselte Term (VT3) entschliis- 
selt. 

56. Anordnung nach einem der Anspriiche 32 bis 55, 30 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

- in der crstcn Computereinheit (U) wird vor Bil- 
dung der dritten Nachricht (M3) eirr,erster ver- 35 
schliisselter Term (VT1) gebildet, indem minde- 
stens der Signaturterm unter Anwendung der Ver- 
schliisselungsfunktion (Enc) verschliisselt wird, 

- die dritte Nachricht (M3) weist den ersten ver- 
schlusselten Term (VT1 ) auf, und 40 

- in der zweiten Computereinheit (N) wird, nach- 
dem die dritte Nachricht (M3) empfangen wurde 
und bevor der Signaturterm verifiziert wird, der 
erste verschliisselte Term (VT1) entschliisselt. 

57. Anordnung nach einem der Anspriiche 32 bis 56, 45 
bei der die crstc Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritle durchfuhrbar sind: 

in der zweiten Computereinheit (N) wird eine Antwort 
(A) gebildet, indem eine Konstante (const), sowie 50 
eventuell weitere GroBen, die in der zweiten Compu- 
tereinheit (N) und in der ersten Computereinheit. (U) 
bekannt sind, mit dem Sitzungsschliissel (K) unter An- 
wendung der Verschlusselungsfunktion (Enc) ver- 
schliisselt wird. 55 

58. Anordnung nach einem der Anspriiche 44 bis 57, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

in der ersten Computereinheit (U) wird die Antwort 60 
(A) iiberpriifV indem eine Konstante (const) sowie 
eventuell weitere GroBen. mit dem Sitzungsschliissel 
(K) unter Anwendung der Verschlusselungsfunktion 
(Enc) verschliisselt wird und das Ergebnis mit der Ant- 
wort (A) verglichen wird. 65 

59. Anordnung nach einem der Anspriiche 44 bis 57, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 



gende Verfahrensschritte durchfuhrbar sind: 
in der ersten Computereinheit (U) wird die Antwort 
(A) uberpriift, indem die Antwort (A) mit dem Sit- 
zungsschlussel (K) unter Anwendung der Verschlussel- 
ungsfunktion (Enc) entschliisselt wird und eine ent- 
schlusselte Konstante (consO sowie eventuell weitere 
GroBen. mil einer Konstante (const) verglichen wird. 

60. Anordnung nach einem der Anspriiche 32 bis 59, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

- in der zweiten Computereinheit (N) wird eine 
Antwort (A) gebildet, indem eine dritte Hash- 
Fun ku on (h3) angewendet wird auf eine Ein- 
gangsgroBe, die mindestens den Sitzungsschliissel 
(K) aufweist, und 

- in der ersten Computereinheit (U) wird die Ant- 
wort (A) uberpriift, indem die dritte Hash-Funk- 
Uon (h3) angewendet wird auf eine Eingangs- 
groBe, die mindestens den Sitzungsschliissel (K) 
aufweist, und das Ergebnis mit der Antwort (A) 
verglichen wird. 

6 1 . Anordnung nach einem der Anspriiche 32 bis 60, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, daB fol- 
gende Verfahrensschritte durchfuhrbar sind: 

die dritte Nachricht (M3) weist mindestens ein optiona- 
les zweites Datenfeld (dat2) auf. 

62. Anordnung nach einem der Anspriiche 32 bis 61, 
bei der die erste Computereinheit (U) und die zweite 
Computereinheit (N) derart eingerichtet sind, dafi fol- 
gende Verfahrensschritte durchfuhrbar sind: 

die erste Computereinheit (U) durch ein mobiles Kom- 
munikationsendgcrat und/odcr.dic zweite Computer- 
einheit (N) wird/werden durch eine Authentifizierungs- 
einheit in einem Mobil-Kommunikationsnetz gebildet 
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